实用恶意软件分析-实验5.1问题11功能sub_100036C3

Question

我只想问一个关于sub_100036C3的问题，因为我没有得到book中给出的详细答案。

简介：

第107页。问题11.导出PSLIST的作用是什么？

第498页。答: sub_100036C3函数检查操作系统版本是Windows Vista/7还是XP/2003/2000。

反汇编代码：

​

​

我们可以看到说明：

cmp [ebp+VersionInformation.dwMajorVersion], 5
jb short loc_100036FA

XP/2003/2000的dwMajorVersion是5。

对于Windows Vista/7，dwMajorVersion为6。

但在反汇编代码中，只有当dwMajorversion为>= 5时，指令loc_100036FA才不会跳转到>=，并且只有当dwMajorVersion <5时才会跳转(如果低于5，则跳转)。

因此，在我看来，它不能用来在XP和Vista/7之间做出选择，因为5和6都属于红色箭头。

有没有人能解释一下，我是对的还是我做错了什么？

Answer 1

函数sub_100036C3只是判断主机操作系统是否为Win2000或更高版本(这可能是它返回一个布尔值而不是三个选项的原因(Windows Vista/7？还是XP/2003/2000？或者两者都不是？))。

如果我们使用反汇编，这个函数的逻辑大致如下：

BOOL sub_100036C3()
{
    OSVERSIONINFOA VersionInformation;
    VersionInformation.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEXA);
    GetVersionExA(&VersionInformation);

    return VersionInformation.dwPlatformId == 2 && VersionInformation.dwMajorVersion >= 5;
}

因此，只要版本不是Windows95，它们就会遵循中间过程。

​