При реверсе вируса наткнулся на функцию(назвал ее PEAnalysis) которая проверяет файл на наличие PE заголовка , ищет KERNAL32.dll и что-то делает с Firstthunck и OriginalFistThunck, что именно я так и не понял, помогите плиз:
Vadimcg, Вы перед "реверсом вируса" почитали хотяб статейки какие на васме том же.. там примеры есть... ну просто после прояснения с KERNAL32.dll вопросы не иссякнут, а ответы скорее всего не поймете..
Ну как работает вирус и все в таком духе.. "от зеленого к красному" почитайте например.. PS Судя по первому скрину и комменту кода, правильнее все таки не KERNAL32.dll, а kirnal32.dll ...
Вы мне можите подсказать что значит строчка cmp byte ptr [ebx+3], 80h ? почему 80h? Судя по вашим коментариям код делает очевидные вещи, которые я не понимаю, можите мне описать это в 2х словах что происходит на 3 и 4м скрине.