windbg实战寻找加密API(一)

最新推荐文章于 2024-03-28 21:59:25 发布
最新推荐文章于 2024-03-28 21:59:25 发布
阅读量1.6k 收藏
点赞数
分类专栏: Windows 文章标签: windows 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fhpknight/article/details/27073485
版权
本文通过Windbg分析Windows系统中与加密相关的API,如ncryptsslp、ncrypt、bcrypt等模块的加密与解密函数,最终确定了在监控加密数据时的理想API——bcrypt!BCryptEncrypt。实验过程包括设置断点、排除不稳定断点,并在MFC应用中使用webbrowser控件进行HTTPS请求,观察加密流程。
摘要由CSDN通过智能技术生成

需求:实现一个windows平台通用工具,用来截获HTTPS、SSL、TLS等加密信息。

首先,对于系统加密API一无所知,怎么办?这里,作者手动写了一个MFC的客户端,webbrowser控件请求建行网上银行。


然后windbg附加上,查询一下系统和加密相关的API:

X *!*crypt* 洋洋洒洒上百个


手工过滤出下面几个可能和加密相关的API:

**************************************************************

Ncryptsslp模块

ncryptsslp!SPSslDecryptPacket

ncryptsslp!SPSslEncryptPacket

ncryptsslp!TlsDecryptPacket

ncryptsslp!TlsEncryptPacket

ncryptsslp!Ssl2EncryptPacket

ncryptsslp!Ssl2DecryptPacket 

ncrypt模块</

最低0.47元/天 解锁文章
fhpknight
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 文件系统过滤驱动开发教程(第二版)》
03-21
在深入探讨文件系统过滤驱动时,教程会涵盖关键的API和数据结构,如IoCreateFile、IoRegisterFsFilter、IoSetNextIrpStackLocation等,这些API允许驱动程序拦截、修改或扩展文件系统操作。此外,还会讲解如何处理...
Windows内核安全与驱动开发光盘源码
07-11
7.1.1 设备绑定的内核API之一 97 7.1.2 设备绑定的内核API之二 98 7.1.3 生成过滤设备并绑定 98 7.1.4 从名字获得设备对象 100 7.1.5 绑定所有串口 101 7.2 获得实际数据 102 7.2.1 请求的区分 102 7.2.2 ...
Windbg Step 2 分析程序堆栈实战
weixin_30322405的博客
09-20 140
转载+整理 http://www.cnblogs.com/killmyday 代码 #include"stdafx.h"#include<tchar.h>#ifdef_UNICODE#define_ttol_wtol#else#define_ttolatol#endifvoidUsage(){#ifdef_UNICODEwprintf(L"[Usa...
Windbg入门
dongjiwo6466的博客
08-10 796
注意:本文省略部分为:1.如何加载系统符号。2.如何开启双机调试。这两部分很重要的。 0×1 程序代码 为了整体掌握windbg的调试流程。本文实例采用自己编写。好处是可以更为主动的熟悉windbg的调试命令,更加直观的查看windbg的显示结果。 0×2 windbg调试入口 打开windbg,点击:File->Open Executable,选中编译好的exe文件。...
[病毒分析]WinDBG实战教学(1)
网络安全知识分享
03-12 3878
WinDBG实战教学(1)一、初始任务二、开始分析三、分析代码四、WinDBG调试 这里的实例选自《恶意代码分析与实战》第十章实验一 大家可以在这里下载哦 点击下载—提取码:8189 实验工具: 1、WinDBG 2、IDA 3、Dependency Walker 一、初始任务 我们将下载好的文件放到指定位置 C:\Windows\System32 使用WinGDB 连接至虚拟机(CSDN中有很多关于WinDBG的初始教学,大家可以先看看) 出现下面的界面表示连接成功: 二、开始分析 第一步,我们使用D
WinDbg实战调试命令笔记
十年磨一剑,霜刃未曾试!
08-01 1184
1.字符串查看 da esp-20   //显示ansi字符串 du esp-20   //显示ansi字符串 db esp-20 dd esp-20    2.修改数据 eb ebp-20 61 61 61 61 61   ea 0012ff4c "bbbbb" eu 0012ff4c "ab" r @eax=1  //将eax寄存器修改为1 3.断点
恶意代码分析实战 7 WinDbg
农夫果园好好喝的博客
01-24 1761
(好奇怪,没看到3)分析该Lab 10-01.sys文件,发现导入表只有三个函数,第一个函数是KeTickCount,剩下两个函数是RtlCreateRegistry和RtlWriteRegistryValue,这告诉我们驱动可能访问了注册表。通过IO通信给驱动发送了控制码0ABCDEF01h,接下来的几个函数初始化了COM对象,并在每30s执行一次某个函数,这个函数有一个参数是这个网址字符串,经过在虚拟机运行程序可知,这是每30s弹出一个广告网页。当打开驱动文件,移动到它的入口时,看到如下代码。
Windows内核安全驱动开发(随书光盘)
08-02
7.1.1 设备绑定的内核API之一 97 7.1.2 设备绑定的内核API之二 98 7.1.3 生成过滤设备并绑定 98 7.1.4 从名字获得设备对象 100 7.1.5 绑定所有串口 101 7.2 获得实际数据 102 7.2.1 请求的区分 102 7.2.2 ...
寒江独钓-Windows内核安全编程(高清完整版).part1
01-04
3.1.1 设备绑定的内核API之一 41 3.1.2 设备绑定的内核API之二 43 3.1.3 生成过滤设备并绑定 43 3.1.4 从名字获得设备对象 45 3.1.5 绑定所有串口 46 3.2 获得实际数据 47 3.2.1 请求的区分 47 3.2.2 请求的结局 48 ...
寒江独钓-Windows内核安全编程(高清完整版).part6
01-04
3.1.1 设备绑定的内核API之一 41 3.1.2 设备绑定的内核API之二 43 3.1.3 生成过滤设备并绑定 43 3.1.4 从名字获得设备对象 45 3.1.5 绑定所有串口 46 3.2 获得实际数据 47 3.2.1 请求的区分 47 3.2.2 请求的结局 48 ...
Crypt-Decrypt:python中的此脚本允许对句子或单词进行加密并对其进行解密
04-11
加密解密 这个python脚本允许您加密句子或单词并对其解密,请注意单词解码不能100%地为您提供改善的功能;) [自述文件的内容!!] [EN]使用加密器 你必须把一个精确的语法 还是怎么样 全部大写 或喜欢她 一切都在微小 语法禁止= 混合物 单词加密功能,但无法解密,不想再看了 句子他们没问题 注意没有特殊字符或数字 对不起,我的拼写 [自述内容] [ENG] 使用加密器 你必须把一个精确的语法 还是怎么样 全部大写 或喜欢她 一切都在微小 禁止的语法= 混合物 单词加密功能,但无法解密,不想再看了 句子他们没问题 注意没有特殊字符或数字 对不起,我的拼写
windbg winapi
huanongying131的博客
08-08 325
查看 ProcessIdToSessionId函数,属于kernel32.dll 1.查看函数地址 x kernel32!ProcessIdToSessionId 2. 下断点 bpkernel32!ProcessIdToSessionId
监控API调用的windbg 插件 Logexts
最新发布
2401_83680667的博客
03-28 208
显示或者修改输出选项,这里有三种输出方式:1.在调试器中显示,2.输出到一个文本文件,3.输出到lgv文件。由于如果在监控过程中发生异常,那么扩展可能无法将记录的日志写入文件中,这个时候我们就需要这个命令,手动的将缓存中的数据写入文件。病毒分析时,对一些程序需要快速分析其功能,需要知道其API调用都有哪些,windbg 提供了一个插件可以实现这个功能,这个插件就是logexts。开启监控,如果之前没有调用logexts.logi,这个扩展命令会先初始化监控,然后启动。显示或者控制监控的API分类。
windbg 中断系统api 函数查找和调试问题,实例总结
blacet的专栏
01-03 2009
工作中,经常遇到因窗口焦点莫名丢失或转移的bug,我们知道设置焦点的系统API 函数是SetFocus,因此,我想断到调用这个函数的地方。所以,需要查看这个api 在哪个dll里,MSDN描述这个api在User32.dll里,而当尝试中断时,发现断点没用,用depends.exe查看user32.dll的导出函数,确实有这个api函数,可能真实的API函数可能另有一个,微软利用某...
Windbgwindows api调用的逆向分析
weixin_34082177的博客
01-13 223
用内核的调试方式去调试虚拟机 !process 0 0 winlogon.exe .process /p 817152a8 切换进程 .reload /f /user 加载用户态的符号 .reload /f c:\my.dll=8e0000,28000 加载自定义的模块,用于查看内部的数据结构(dt命令) .process /i /p 817152a8 非入侵式的attach Bu,b...
0.windbg-!logexts(自带的监控API)
hgy413的专栏
12-08 2380
Logexts.dll windbgth自带了跟进API的功能,这样我们可以方便的跟踪整个API的调用 具体的示意图如下: 指令简介 !logexts.logi 将Logger注入目标程序,初始化监控,但是并不开启它。 !logexts.loge 开启监控,如果之前没有调用logexts.logi,这个扩展命令会先初始化监控,然后启动。 !logexts
windbg基础篇--window API
zhubingke的博客
09-20 175
来源:http://www.cppblog.com/Alexxu/archive/2009/08/24/94232.aspx User32.dll,kernel32.dll,shell32.dll,gdi32.dll,rpcrt4.dll,comctl32.dll,advapi32.dll,version.dll等dll代表了Win32 API的基本提供者;Win...
编写windbg调试器扩展 入门篇1
lixiangminghate的专栏
08-10 1655
我博客的左侧专栏曾经转过windows下编写调试器的一系列文章,这类文章是从零打造调试器,而这篇文章是介绍如何为windbg编写调试器扩展命令。 0.前言     windbg的命令有很多,其中以"!"开始的命令就是所谓的扩展命令。这些扩展命令由Dll以导出函数的形式提供给windbg加载。一般跟在"!"后面的字符串就是dll中导出的函数。以!htrace命令为例,查看windbg帮助文档,它
编写windbg调试器扩展 进阶篇1
lixiangminghate的专栏
08-15 987
作为windbg调试器扩展的第三篇,这篇文章将结合代码,梳理调试器扩展的骨架脉络。     先附上代码片段: #include "dbgexts.h" extern "C" HRESULT CALLBACK DebugExtensionInitialize(PULONG Version, PULONG Flags) { *Version = DEBUG_EXTENSION_VERSION(
Windbg实战Windows调试利器
"windbg实战教程,通过实例教学深入了解windbg这款强大的Windows调试工具。" 在IT行业中,调试是解决问题的关键步骤,特别是在面对复杂的系统或应用时。Windbg,全称Windows Debugger,是一款由Microsoft开发的强大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值