今天看到一个样本中一段shellcode的解码头,从样本中拿出来后用IDA反汇编得到如下结果:

seg000:00000000                 nop
seg000:00000001                 nop
seg000:00000002                 nop
seg000:00000003                 nop
seg000:00000004                 fldz
seg000:00000006                 fnstenv byte ptr [esp-0Ch]
seg000:0000000A                 pop     esi
seg000:0000000B                 add     esi, 20h ; ' '
seg000:0000000E                 push    esi
seg000:0000000F                 pop     edi
seg000:00000010                 xor     ecx, ecx
seg000:00000012                 mov     cx, 2FFh
seg000:00000016
seg000:00000016 loc_16:                                 ; CODE XREF: seg000:00000022
seg000:00000016                 lodsw
seg000:00000018                 sub     ax, 6161h
seg000:0000001C                 shl     al, 4
seg000:0000001F                 add     al, ah
seg000:00000021                 stosb
seg000:00000022                 loop    loc_16
seg000:00000022 seg000          ends
【后面是编码的shellcode】

看到里面fldz和fnstenv指令感到很疑惑,怀疑这段代码不能执行。于是放到OD中调试,由于esi被初始化指向了非法地址,导致运行产生异常。

这个样本先把包括解码头的整个shellcode复制到内存,然后用createthread把shellocde带起来。但是直接打开样本发现shellcode被解码并成功执行,最终释放一个exe并运行。

我的问题是fldz和fnstenv在线程中是如何对esi产生影响并完成解码工作,请各位指点。谢谢!

  • 标 题:答复
  • 作 者:仙果
  • 时 间:2011-06-09 15:48:35

我认真看了下。。。。
FLDZ:将0.0装入st(0): st(0) <- 0.0 
 FSTENV/FNSTENV :(DST:14字节存贮器操作数)
(DST)(控制寄存器)
(DST+2)(状态寄存器) 
(DST+4)(标记寄存器)
(DST+6)(指令指示器)
(DST+10)(操作数指示器) 
所有错误屏蔽位置1

感觉FLDZ 和FNSTENV 执行算是垃圾指令,并不影响解码的过程

http://web.nuist.edu.cn/courses/wjyljyy/07336.htm

  • 标 题:答复
  • 作 者:fuestck
  • 时 间:2011-06-09 16:57:28

引用:
最初由 仙果发布 查看帖子
能否解释详细点呢?
fnstenv 将最后执行的一条FPU 指令相关的协处理器的信息保存在指定的内存中,是按结构保存的
该结构偏移12字节处就是最后执行的浮点指令的运行时地址,本来有图的我这里粘贴不方便,更详细的你可以google ‘fnstenv 重定位‘