解读 TransformKeyPermissions

最新推荐文章于 2021-07-23 16:46:23 发布
最新推荐文章于 2021-07-23 16:46:23 发布
阅读量398 收藏
点赞数
分类专栏: 操作系统相关 WCP 系统维护 文章标签: 权限 WCP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hadstj/article/details/52894236
版权
系统维护 同时被 3 个专栏收录
248 篇文章 0 订阅
订阅专栏
操作系统相关
179 篇文章 0 订阅
订阅专栏
WCP
86 篇文章 0 订阅
订阅专栏

解读 TransformKeyPermissions

准确的功能不是很清楚,从名字来看,应该是把输入的权限值,经过某种变换后,再输出。

如果版本不是大于 7 或大于 6.1,就不进行变换;
否则,如果权限值小于 256,就加上 256,大于 256,不变换。

0x114 = 276
0x110 = 272
0x100 = 256

VersionInformation 是结构体 _OSVERSIONINFOW 类型。
VersionInformation {
dwOSVersionInfoSize=0x114u,
dwMajorVersion=0u,
dwMinorVersion=0u,
dwBuildNumber=0u,
dwPlatformId=0u,
szCSDVersion={0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u,0u}
} struct _OSVERSIONINFOW

第一个字段为结构的大小,276。
32 位版本看得很清楚,
VersionInformation.dwOSVersionInfoSize = 276;
v2 = RtlGetVersion(&VersionInformation);
64位版本变有点怪了:
v10 = 276;
v2 = RtlGetVersion(&v10);

对结构体从第二个字段开始的 272 个字节,全部清零,即长度为 0x110。
memset(&VersionInformation.dwMajorVersion, 0, 0x110u);
memset_0(&Dst, 0, 0x110ui64);

szCSDVersion 中保存的是如 Service Pack 3 这样的字符串。

//----- (100F0B45) --------------------------------------------------------
NTSTATUS __thiscall `anonymous namespace'::TransformKeyPermissions(_DWORD *this)
{

  VersionInformation.dwOSVersionInfoSize = 276;
  v1 = this;
  memset(&VersionInformation.dwMajorVersion, 0, 0x110u);
  v2 = RtlGetVersion(&VersionInformation);
  v3 = v2;
  if ( v2 >= 0 )
  {
    if ( VersionInformation.dwMajorVersion >= 7
      || VersionInformation.dwMajorVersion == 6 && VersionInformation.dwMinorVersion >= 1 )
    {
      *v1 |= 0x100u;
    }
    result = 0;
  }
  return result;
}

 
//----- (0000000180079520) ----------------------------------------------------
__int64 __fastcall `anonymous namespace'::TransformKeyPermissions(_DWORD *a1)
{
  v1 = a1;
  v10 = 276;
  memset_0(&Dst, 0, 0x110ui64);
  v2 = RtlGetVersion(&v10);
  v3 = v2;
  if ( v2 >= 0 )
  {
    if ( Dst >= 7 || Dst == 6 && v12 >= 1 )
      *v1 |= 0x100u;
    result = 0i64;
  }
  return result;
}
// 1802449C0: using guessed type int __fastcall RtlGetVersion(_QWORD);
心想才事成
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windwos系统版本获取
a1371192766的博客
05-19 166
【代码】windwos系统版本获取。
恶意代码分析实战-lab5-1
qq_41810304的博客
07-18 1219
《恶意代码分析实战》这本书简要的讲了一下IDA咋用,虽然以前做CTF也用过,但是只是一些简单的题,所以只会Ctrl+F,搜索“main”,然后F5,看伪代码。经过一段时间的简单学习,好像会一点点了,但是真的只会一点点。即便如此,我还是记录一下这次的学习吧。 在这学习之前,我还是要瞎扯几句。作为初学者,我按照书上的注意事项,选择了binary方式反编译,然而,啥也没有,连导出和导入函数都没有。果然初学者还没有理解透的情况下还是默认反编译吧。文中多多少少会有一些错误的地方,请各...
简析transform,transition,animation,@key frames的关系
bluefish_flying的博客
03-22 1304
这是基于慕课网10天精通css3教程后想写的内容;        引用w3c中的概念  : transform 属性向元素应用 2D 或 3D 转换。该属性允许我们对元素进行旋转、缩放、移动或倾斜。(scale(x,y)变形-缩放 、变形--位移 translate(x,y),transform-origin表示元素的一个中心点  、rotate(ndeg)旋转),顾名思义就是可以通过设置tra
RtlGetVersion获取操作系统版本
125096
03-08 7329
#include #include //操作系统版本 #define WINXP 51 #define WINXP2600 512600 #define WIN7 61 #define WIN77600 617600 #define WIN77601 617601 #define WIN8 62 #define WIN89200 62920
IES文件解读
09-29
IES配光文件解读
Postgresql源码解读.docx
07-03
4500页的源码解读 光是SELECT语句相关实现,就阐述了300多页 看完了你就是postgreSQL达人了 章节明细,需要精读那个功能点就仔细看
Spark源码深度解读
11-29
Spark源码解读迷你 RDD、Spark Submit、Job、Runtime、Scheduler、Spark Storage、Shuffle、Standlone算法、Spark On yarn。。。
《三级医院评审标准2021》解读.pptx
09-22
解读三级医院评审标准2021
ECE R79针对乘用车法规解读
05-03
在本压缩包中,"ECE R79法规解读"文档将提供对该法规的详细分析和解释。 ECE R79法规的核心目标是规定车辆上安装的所有自动驾驶和转向辅助系统的性能要求。这些系统可能包括但不限于自动泊车、车道保持辅助、自适应...
恶意代码分析实战 Lab 5-1 习题笔记
isinstance的博客
09-06 5927
Lab 5-1问题1.DllMain的地址是什么?解答: 这个我们用IDA Pro打开来查找,因为最新的IDA Pro不支持我们运行病毒那个虚拟机的版本(xp pro 32),所以下面的分析都是在win7上的打开IDA Pro之后就会提示你是否打开一个叫proximity browser的东西,然后打开这个东西就可以看到DllMain的位置如果没有跳出来,这里可以点开这个窗口然后右键选择Text v
[源码]一键获取windows系统登陆密码vc6版源码
weixin_30455023的博客
01-12 312
[源码]一键获取windows系统登陆密码vc6版源码支持:XP/2000/2003/WIN7/2008等 此版本编译出来的程序体积较小几十KB... 而vs版则1点几M,体积整整大了2-30倍对某些奇葩环境...1点几M可能要分几十次传过去总是在关键的时候,发现自己以前弄过的东西突然不见了然后百度好不容易找到了一份..还是发到博客来 收藏需要修改输出TXT的或免杀啥的...上自己博客找源码...
OSVERSIONINFO的用法及实例
weixin_30457465的博客
07-15 239
OSVERSIONINFO 快速信息 Windows NT 支持 Windows 95 支持 Win32s 支持 引入程序库 - 头文件 winbase.h Unicode WinNT 平台说明 无 概述-系统信息 微软的Win32应用程序编程接口(API)包含了描述当前操作系统配置...
Windows系统版本判定那些事儿
lixiangminghate的专栏
01-07 1141
转自:http://blog.csdn.net/magictong/article/details/40753519 前言 本文并不是讨论Windows操作系统的版本来历和特点,也不是讨论为什么没有Win9,而是从程序员角度讨论下Windows获取系统版本的方法和遇到的一些问题。在Win8和Win10出来之后,在获取系统版本时,可能很多人都碰到了类似的问题,为什么以前工作得很好的API
如何理解 Transformer 中的 Query、Key 与 Value
破晓的专栏
07-23 5400
参考链接: https://blog.csdn.net/weixin_36896856/article/details/103471086 我相信有一堆人和我一样刚开始看Transformer 中的 Query、Key 与 Value都是一脸懵逼,参考链接里算是比较容易看懂的,但我觉得仅仅讲清楚了怎么计算Query、Key 与 Value与Transformer计算过程,却没讲为什么这样算,自己很幸运看了同样是2017凯明大神的一篇文章:《Non-local Neural Networks...
解读 RtlGetVersion
心想事成
10-22 2744
解读 RtlGetVersion获得系统版本号。NTSTATUS RtlGetVersion(OSVERSIONINFOW &VersionInformation) { UINT_PTR pfn = CalcFunctionAddress(phWCP, pfb_RtlGetVersion); typedef signed int(__stdcall * fnRtlGetVersion)
byte数组穿换成pcm格式_实例讲解未知游戏文件格式的逆向分析方法(下)
weixin_35779506的博客
12-06 380
(接上文)现在,我们知道v8绝对是一个类。接下来,让我们暂时离开这里,回到50B9A2,考察一下50B91E函数: _BYTE *__stdcall sub_50B91E(int a1, int a2, unsigned int a3) { unsigned int v3; // ecx@1 unsigned int v4; // esi@1 ...
如何在程序中判断操作系统类型
experientialism
09-24 712
#include #include //OSVERSIONINFO结构体的定义: // //typedef OSVERSIONINFOW OSVERSIONINFO; //typedef struct _OSVERSIONINFOW { //    DWORD dwOSVersionInfoSize;    //指定该数据结构的字节大小 //    DWORD dwMajorVe
探索Linux内核:解读入门与深度学习路径
"阅读Linux内核源代码是一门技术含量极高的技能,它不仅能让开发者深入了解计算机底层工作原理...因此,对于想要深入了解Linux或者提升自身技术水平的开发者而言,学习如何解读Linux内核源代码是一项必不可少的技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值