MOV ECX,100; установка счетчика
PUSH EDX; сохранение регистра edx
PUSH ECX; сохранение регистра ecx
MOV EDX,[ECX+01006AE0]; помещение в edx декодируемого значения из памяти
XOR EDX,35; декодирование
MOV [ECX+01006AE0],EDX; запись декодированного кода на его место
POP ECX; восстановление регистра ecx
POP EDX; восстановление регистра edx
LOOP 01007DA8; операция цикла
PUSH 70; эта и следующая инструкции - такие же, как и первые
PUSH 01001888; две инструкции секции кода, которые мы затерли jmp’ом
JMP 01006AE7; переход к декодированному кодуFARPROC GetProcAddressCRC32(HMODULE hModule,DWORD ApiNameCRC32)
{
IMAGE_DOS_HEADER *lpModuleMZ;
IMAGE_NT_HEADERS *lpModulePE;
IMAGE_EXPORT_DIRECTORY *lpModuleExp;
DWORD *AddressOfNames;
WORD *AddressOfNameOrdinals;
DWORD *AddressOfFunctions;
char *Name;
FARPROC Address; //adresa funkcije
DWORD index;
if (hModule!=NULL)
{
lpModuleMZ=(IMAGE_DOS_HEADER *)hModule;
lpModulePE=(IMAGE_NT_HEADERS *)((DWORD)lpModuleMZ+lpModuleMZ->e_lfanew);
lpModuleExp=(IMAGE_EXPORT_DIRECTORY*) ((DWORD)lpModuleMZ+lpModulePE->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
AddressOfNames=(DWORD*)((DWORD)lpModuleMZ+lpModuleExp->AddressOfNames);
AddressOfNameOrdinals=(WORD*)((DWORD)lpModuleMZ+lpModuleExp->AddressOfNameOrdinals);
AddressOfFunctions=(DWORD*)((DWORD)lpModuleMZ+lpModuleExp->AddressOfFunctions);
for (index=0;index<lpModuleExp->NumberOfNames;index++)
{
Name=(char*)((DWORD)lpModuleMZ+AddressOfNames[index]);
if (Str2CRC32(Name)==ApiNameCRC32)
{
index=AddressOfNameOrdinals[index]; //new index
Address=(FARPROC)((DWORD)lpModuleMZ+AddressOfFunctions[index]);
return Address;
}
}
}
return NULL;
}
Скачать|Download Скачать|Download Скачать|Download
