آنالیز بدافزار ZeroAccess (قسمت سوم)
۳۱
ارديبهشت
تابع call ebp :
این تابع دارای چندین حلقه هستش که دایما دارن محتویات رو تغییر میدن و دستورات جدید رو رمزگشایی میکنن و در آدرسی که بعد از این تابع قرار دارد و قرار است به اون jump زده شود قرار می دهند. اگه دستورات آدرس 401018 رو قبل و بعد از این تابع ببینید خواهید دید که کلی دستور جدید تولید شده.
اینکه روش رمزگشایی رو بررسی کنیم توی این مرحله برای ما مهم نیس و ما نیازی به دونستش نداریم. پس این تابع رو با F8 رد میکنیم.
دستور بعد از این تابع یک دستور بی اثر هستش و بعد از اون هم یک پرش.
این همون پرشی هستش که به کدهای رمزگشایی شده انجام میشه.
