0x28个call ec0000对应0x28个API函数
call ec000地址表
60 11 78 00 80 11 78 00 98 11 78 00 A0 11 78 00 B0 11 78 00 B8 11 78 00 C8 11 78 00 D0 11 78 00
E0 11 78 00 E8 11 78 00 F0 11 78 00 08 12 78 00 18 12 78 00 20 12 78 00 28 12 78 00 68 12 78 00
78 12 78 00 E4 5D 78 00 04 5E 78 00 0C 5E 78 00 14 5E 78 00 1C 5E 78 00 24 5E 78 00 2C 5E 78 00
34 5E 78 00 3C 5E 78 00 44 5E 78 00 64 5E 78 00 6C 5E 78 00 7C 5E 78 00 84 5E 78 00 8C 5E 78 00
B4 5E 78 00 C4 5E 78 00 D4 5E 78 00 EC 5E 78 00 FC 5E 78 00 04 5F 78 00 0C 5F 78 00 44 5F 78 00
API函数表
97 87 E6 77 50 63 E7 77 87 33 E1 77 72 58 E7 77 FF 07 E8 77 F3 6D E8 77 10 0A E8 77 CE 0A E8 77
12 6B E8 77 52 0F EA 77 96 02 E8 77 CB F2 E7 77 76 1E 6D 79 06 25 6D 79 46 30 6D 79 03 BB E8 77
8B 45 E8 77 A0 98 E8 77 F6 F1 E9 77 06 FC E7 77 D7 80 EA 77 F5 80 EA 77 C1 78 E8 77 03 BB E8 77
C1 EB E9 77 7E 37 E8 77 31 E9 E6 77 10 0A E8 77 CE 0A E8 77 97 87 E6 77 74 F2 E9 77 52 0F EA 77
15 69 E8 77 CB 78 E8 77 B6 64 E7 77 05 6A E8 77 CC B3 E6 77 50 63 E7 77 F8 78 E8 77 87 33 E1 77
怎么弄回去呢
FThunk: 003A1300 NbFunc: 00000028
1 003A1300 kernel32.dll 016D GetStdHandle
1 003A1304 kernel32.dll 0315 WriteFile
1 003A1308 user32.dll 01C4 MessageBoxA
1 003A130C kernel32.dll 00A4 FindClose
1 003A1310 kernel32.dll 00C8 FreeLibrary
1 003A1314 kernel32.dll 00DF GetCommandLineA
1 003A1318 kernel32.dll 013D GetModuleFileNameA
1 003A131C kernel32.dll 013F GetModuleHandleA
1 003A1320 kernel32.dll 016B GetStartupInfoA
1 003A1324 kernel32.dll 0186 GetThreadLocale
1 003A1328 kernel32.dll 01E7 LoadLibraryExA
1 003A132C kernel32.dll 033B lstrlen
1 003A1330 advapi32.dll 018C RegCloseKey
1 003A1334 advapi32.dll 01A5 RegOpenKeyExA
1 003A1338 advapi32.dll 01AF RegQueryValueExA
1 003A133C kernel32.dll 0111 GetCurrentThreadId
1 003A1340 kernel32.dll 0232 QueryPerformanceCounter
1 003A1344 kernel32.dll 0035 CreateEventA
1 003A1348 kernel32.dll 0075 EnumCalendarInfoA
1 003A134C kernel32.dll 00C3 FormatMessageA
1 003A1350 kernel32.dll 00CE GetACP
1 003A1354 kernel32.dll 00D4 GetCPInfo
1 003A1358 kernel32.dll 010F GetCurrentProcessId
1 003A135C kernel32.dll 0111 GetCurrentThreadId
1 003A1360 kernel32.dll 0112 GetDateFormatA
1 003A1364 kernel32.dll 0118 GetDiskFreeSpaceA
1 003A1368 kernel32.dll 012E GetFullPathNameA
1 003A136C kernel32.dll 013D GetModuleFileNameA
1 003A1370 kernel32.dll 013F GetModuleHandleA
1 003A1374 kernel32.dll 016D GetStdHandle
1 003A1378 kernel32.dll 016F GetStringTypeExA
1 003A137C kernel32.dll 0186 GetThreadLocale
1 003A1380 kernel32.dll 0218 OpenProcess
1 003A1384 kernel32.dll 0247 ReadProcessMemory
1 003A1388 kernel32.dll 0293 SetEndOfFile
1 003A138C kernel32.dll 02D2 TerminateProcess
1 003A1390 kernel32.dll 0304 WaitForSingleObject
1 003A1394 kernel32.dll 0315 WriteFile
1 003A1398 kernel32.dll 031E WriteProcessMemory
1 003A139C user32.dll 01C4 MessageBoxA
0078116E 8BC0 MOV EAX,EAX
00781170 - FF25 74517A00 JMP DWORD PTR DS:[7A5174] ; ntdll.RtlUnwind
00781176 8BC0 MOV EAX,EAX
00781178 - FF25 70517A00 JMP DWORD PTR DS:[7A5170] ; KERNEL32.UnhandledExceptionFilter
0078117E 8BC0 MOV EAX,EAX
00781180 E8 7BEE7300 CALL 00EC0000
00781185 CF IRETD
00781186 8BC0 MOV EAX,EAX
00781188 - FF25 90517A00 JMP DWORD PTR DS:[7A5190] ; USER32.CharNextA
0078118E 8BC0 MOV EAX,EAX
00781190 - FF25 68517A00 JMP DWORD PTR DS:[7A5168] ; KERNEL32.ExitProcess
00781196 8BC0 MOV EAX,EAX
00781198 E8 63EE7300 CALL 00EC0000
0078119D 2F DAS
0078119E 8BC0 MOV EAX,EAX
007811A0 E8 5BEE7300 CALL 00EC0000
007811A5 EE OUT DX,AL ; I/O command
007811A6 8BC0 MOV EAX,EAX
007811A8 - FF25 60517A00 JMP DWORD PTR DS:[7A5160] ; KERNEL32.FindFirstFileA
007811AE 8BC0 MOV EAX,EAX
007811B0 E8 4BEE7300 CALL 00EC0000
007811B5 FA CLI
007811B6 8BC0 MOV EAX,EAX
007811B8 E8 43EE7300 CALL 00EC0000
007811BD F3: PREFIX REP: ; Superfluous prefix
007811BE 8BC0 MOV EAX,EAX
007811C0 - FF25 54517A00 JMP DWORD PTR DS:[7A5154] ; KERNEL32.GetLocaleInfoA
007811C6 8BC0 MOV EAX,EAX
007811C8 E8 33EE7300 CALL 00EC0000
007811CD 808B C0E82BEE 7>OR BYTE PTR DS:[EBX+EE2BE8C0],73
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
