马上注册,结交更多易友,享用更多功能,让你轻松玩转觅风论坛。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
.版本 2
.子程序 内存BUFF
.参数 数值, 整数型
.参数 类型, 整数型
.参数 触发指针, 整数型
.局部变量 汇编CALL, 字节集
.局部变量 call地址1, 整数型
.局部变量 call地址2, 整数型
.局部变量 类, 整数型
.局部变量 空白, 整数型
.局部变量 持续时间, 整数型
call地址1 = 15991120
call地址2 = 5103360
' 00C56080 55 push ebp
' 004364E0 56 push esi
持续时间 = 6666666 ' 持续时间
清空汇编代码 ()
置汇编代码 ({ })
Push_EBP ()
Mov_EBP_ESP ()
Pushad ()
Push (118) ' 72
Mov_EAX (call地址1)
Call_EAX ()
Add_ESP (4)
Mov_ESI_EAX ()
Mov_EDX_Ptr_EAX ()
Mov_ECX_EAX ()
Mov_EAX_Ptr_EDX_Add (128) ' 7c
Push (持续时间)
Call_EAX ()
Mov_ECX_ESI ()
Mov_EDX_Ptr_ECX ()
Mov_EAX_Ptr_EDX_Add (312) ' 124
Push (数值)
Push (0)
Push (类型)
Call_EAX ()
Push (0)
Push (0)
Push (-1)
Push (0)
Sub_ESP (8)
Mov_ECX_ESP ()
Push (0)
Mov_EAX (call地址2)
Call_EAX ()
Mov_ECX_ESI ()
Mov_EDX_Ptr_ECX ()
Mov_EAX_Ptr_EDX_Add (124) ' 78
Push (1)
Push (读内存整数型 (进程ID, 触发指针))
Push (读内存整数型 (进程ID, 触发指针))
Call_EAX ()
Popad ()
Mov_ESP_EBP ()
Pop_EBP ()
ret ()
汇编CALL = 取汇编代码 () + { 199, 1, 0, 0, 0, 0, 199, 65, 4, 0, 0, 0, 0 }
汇编CALL = 汇编CALL + 取汇编代码 ()
远程汇编 (进程ID, 汇编CALL)
|
