摘要：一、结构图 二、shellcode加密 1、将shellcode分别加密三次，每一次取出其中一段 2、构造代码段 其中C1和51，F3和63，E8和78异或之后为90，90作为判断解密是否结束的标志 mov bh, 0x51的硬编码是 B7 51 ，0x51是key1的值，不同的代码段，是不一样的 阅读全文

摘要：一、函数运行前 二、调用函数此时PUSH两个参数，然后调用函数 PUSH往栈中压入2和1，每次压栈栈顶的地址都会减4（先减地址，在压栈） CALL 将下一行指令的地址压入栈中，再跳到0040100A这个地址去（先减地址，在压栈） PUSH 2 PUSH 1 CALL 0040100A 三、函数调用后 阅读全文