จากโค้ด เก่า
http://citec.us/forum/index.php?showtopic=...mp;hl=fwb\ (http://citec.us/forum/index.php?showtopic=4473&hl=fwb\)


เอา function downloader มาใส่เพิ่ม ทดสอบแล้ว มันสามารถผ่าน firewall ได้จริงๆ

***โค้ดเขียนแบบ ง่ายๆ ไม่มีการดัก error มากนัก ใช้ แค่ทดสอบ ใครเจอ error ช้วยแก่หน่อยก็ดี :D


**Hidden Content: Check the thread to see hidden data.**

- -"

กว่าจะเข้าใจได้เล่นเอาเสียเวลาไป 1 วันเต็มๆ (ไม่รู้ว่าจะเข้าใจถูกด้วยหรือเปล่า เหอๆๆ)
มีคำถามครับ พร้อมๆกับ แปลง code ให้ดูง่ายขึ้นในรูปของ masm (ผมเข้าใจว่าใน remote มันคล้ายๆกับ shell code ดีๆนี่เอง)

[hide=20]

ผมเอามาเฉพาะ ส่วนของ remote นะครับ

คำถามคือ ตรงที่ผม comment เอาไว้ว่า "push ทำไมหว่า??" ผมไม่หาไม่เจออ่ะครับว่า ทำไมต้อง push ค่าเหล่านี้ลงไปด้วย??
ยังไง รบกวนท่านผู้รู้ บอกนิดนึง T-T

[code]
;##################################################################
;invoke Loadlibrary,TInjData.szUkernel32
;invoke GetProcAddress,eax,TInjData.szGetWindowsDirectory
;push offset TInjData.szdWindowsPath

ตอบ ให้ เป็นการ จอง ไง เช่น อยากใช้ edi ก็ต้อง push edi เอาไว้

เพราะ ก่อน หน้านี้ มันอาจโดนใช้ ไปแล้ว ถ้าไม่ push มันจะจำค่าเก่าๆ

แต่ในตัว อย่าที่ถาม มัน push แบบนั้นไม่ได้น้ะ .... ถ้าอยู่ในรูปแบบ invoke ไม่ต้องมี push

http://msdn.microsoft.com/en-us/library/ms724454(VS.85).aspx

- -" ถามต่อ
อย่างเช่น



call [esi].szdGetAddr;getprocess lstrcat ด้วย GetProcAddress

lea edi,[esi].szdRunPath
push edi << มันมีการ push 2 ครั้งอ่ะครับ

push ebx;c:\windows
push edi;runpath << มันมีการ push 2 ครั้งอ่ะครับ
cmp eax,eax
jnz @f
call eax << call lstrcat(arg1,arg2) << ถ้าผมเข้าใจไม่ผิด มัน push แค่ edi กับ ebx สองตัว บนก็ใช้ได้เลยนี่ครับ - -"[/b]

T-T ขี้สงสัยหน่อยนะครับ โทษที

ถูกแล้วครับ ลบทิ้งไปได้เลย คือ ตอนเขียน มัน งง และ มึน

มีจุดไหนอีก ก็แนะนำได้ ครับ :D tummy สุดยอดจริงๆ