各种语言入口特征码

admin

Microsoft Visual Basic 5.0 / 6.0

1. JMP DWORD PTR DS:[<&MSVBVM60.#100>]    ; MSVBVM60.ThunRTMain
   
2. PUSH PACKME.00407C14
   
3. CALL <JMP.&MSVBVM60.#100>
   
4. ADD BYTE PTR DS:[EAX],AL
   
5. ADD BYTE PTR DS:[EAX],AL
   
6. ADD BYTE PTR DS:[EAX],AL
   
7. XOR BYTE PTR DS:[EAX],AL

复制代码

或者没有第一行jmp指令：

1. push dumped_.0040D4D0
   
2. call <jmp.&msvbvm60.ThunRTMain>
   
3. add byte ptr ds:[eax],al
   
4. add byte ptr ds:[eax],al
   
5. add byte ptr ds:[eax],al
   
6. xor byte ptr ds:[eax],al
   
7. add byte ptr ds:[eax],al

复制代码

C++

1. JMP SHORT BCLOCK.0040164E
   
2. DB 66                                  ;   CHAR ‘f‘
   
3. DB 62                                  ;   CHAR ‘b‘
   
4. DB 3A                                  ;   CHAR ‘:‘
   
5. DB 43                                  ;   CHAR ‘C‘
   
6. DB 2B                                  ;   CHAR ‘+‘
   
7. DB 2B                                  ;   CHAR ‘+‘
   
8. DB 48                                  ;   CHAR ‘H‘
   
9. DB 4F                                  ;   CHAR ‘O‘
   
10. DB 4F                                  ;   CHAR ‘O‘
    
11. DB 4B                                  ;   CHAR ‘K‘
    
12. NOP
    
13. DB E9
    
14. DD OFFSET BCLOCK.___CPPdebugHook
    
15. MOV EAX,DWORD PTR DS:[4EE08B]
    
16. SHL EAX,2
    
17. MOV DWORD PTR DS:[4EE08F],EAX
    
18. PUSH EDX
    
19. PUSH 0                                   ; /pModule = NULL
    
20. CALL <JMP.&KERNEL32.GetModuleHandleA> ; \GetModuleHandleA
    
21. MOV EDX,EAX

复制代码

Microsoft Visual C++ 6.0

1. PUSH EBP                               ;   (初始 cpu 选择)
   
2. MOV EBP,ESP
   
3. PUSH -1
   
4. PUSH Screensh.00563740
   
5. PUSH Screensh.0049C78C                ;   SE 处理程序安装
   
6. MOV EAX,DWORD PTR FS:[0]
   
7. PUSH EAX
   
8. MOV DWORD PTR FS:[0],ESP
   
9. SUB ESP,58

复制代码

Borland Delphi 3.0

1. push ebp
   
2. mov ebp,esp
   
3. add esp,-0xC
   
4. mov eax,Acid_bur.0042FC88
   
5. call Acid_bur.004050EC
   
6. 0042FD78    A1 480A4300   
   
7. mov eax,dword ptr ds:[0x430A48]
   
8. mov eax,dword ptr ds:[eax]
   
9. 
   

复制代码

Borland Delphi 6.0 - 7.0

1. PUSH EBP
   
2. MOV EBP,ESP
   
3. ADD ESP,-14
   
4. PUSH EBX
   
5. PUSH ESI
   
6. PUSH EDI
   
7. XOR EAX,EAX
   
8. MOV DWORD PTR SS:[EBP-14],EAX
   
9. MOV EAX,unpack.00509720
   
10. CALL unpack.0040694C
    

复制代码

易语言入口

1. call dump_.0040100B
   
2. push eax
   
3. call <jmp.&KERNEL32.ExitProcess>
   
4. push ebp
   
5. mov ebp,esp
   
6. add esp,-110
   
7. jmp dump_.0040109C
   
8. imul esi,dword ptr ds:[edx+6E],6C
   
9. outs dx,byte ptr es:[edi]

复制代码

Microsoft Visual C++ 6.0 [Overlay] E语言

1. PUSH EBP
   
2. MOV EBP,ESP
   
3. PUSH -1
   
4. PUSH Nisy521.004062F0
   
5. PUSH Nisy521.00404CA4                    ;   SE 处理程序安装
   
6. MOV EAX,DWORD PTR FS:[0]
   
7. PUSH EAX
   
8. MOV DWORD PTR FS:[0],ESP

复制代码

MASM32 / TASM32入口

1. push 0                                   ; /pModule = NULL
   
2. call <jmp.&kernel32.GetModuleHandleA> ; \GetModuleHandleA
   
3. mov dword ptr ds:[403000],eax
   
4. push 0                                   ; /lParam = NULL
   
5. push dump.004010DF                       ; |DlgProc = dump.004010DF
   
6. push 0                                   ; |hOwner = NULL
   
7. push 65                               ; |pTemplate = 65
   
8. push dword ptr ds:[403000]             ; |hInst = NULL
   
9. call <jmp.&user32.DialogBoxParamA>    ; \DialogBoxParamA-

复制代码