用户层下API的逆向分析及重构

最新推荐文章于 2024-02-16 17:48:05 发布
最新推荐文章于 2024-02-16 17:48:05 发布
阅读量938 收藏 5
点赞数 1
文章标签: 重构 c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongduilanjun/article/details/123411421
版权

Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用ollydbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现。

测试

od

我们首先在od里面跟一下在ring3层ReadProcessMemory的调用过程

首先在 exe 中 调用 kernel32.ReadProcessMemory函数,我们可以看到这一部分主要是call dword ptr ds:[<&KERNEL32.ReadProcessMemory>]; kernel32.ReadProcessMemory这一行代码比较关键,调用了kernel32.ReadProcessMemory,继续往里面跟

  01314E3E  8BF4     		mov esi,esp
  01314E40  6A 00    		push 0x0
  01314E42  6A 04    		push 0x4
  01314E44  8D45 DC   		lea eax,dword ptr ss:[ebp-0x24]
  01314E47  50      		push eax
  01314E48  8B4D C4   		mov ecx,dword ptr ss:[ebp-0x3C]
  01314E4B  8D548D E8  		lea edx,dword ptr ss:[ebp+ecx*4-0x18]
  01314E4F  52      		push edx
  01314E50  6A FF    		push -0x1
  01314E52  FF15 64B0310	call dword ptr ds:[<&KERNEL32.ReadProcessMemory>]; kernel32.ReadProcessMemory
  01314E58  3BF4     		cmp esi,esp

ReadProcessMemory函数 中调用 jmp.&API-MS-Win-Core-Memory-L1-1-0.ReadProcessMemory> 函数,在kenel32.dll中,mov edi,edi 是用于热补丁技术所保留的,这段代码仔细看其实除了jmp什么也没干,继续跟jmp

7622C1CE  8BFF       	   mov edi,edi
7622C1D0  55        	   push ebp
7622C1D1  8BEC       	   mov ebp,esp
7622C1D3  5D        	   pop ebp                              
7622C1D4  E9 F45EFCFF      jmp <jmp.&API-MS-Win-Core-Memory-L1-1-0.ReadProcessMemory>

API-MS-Win-Core-Memory-L1-1-0.ReadProcessMemo 中调用 KernelBase.ReadProcessMemory 函数,这里的调用链就是从kernel32.dll到了kernelBase.dll

761F20CD  FF25 0C191F7 		
    jmp dword ptr ds:[<&API-MS-Win-Core-Memory-L1-1-0.ReadProcessMemory>; KernelBase.ReadProcessMemory

KernelBase.ReadProcessMemory中 调用 <&ntdll.NtReadVirtualMemory> 函数,将ReadProcessMemory中传入的参数再次入栈,调用ntdll.ZwReadVirtualMemory函数,再往里面走

  75DA9A0A  8BFF     	mov edi,edi
  75DA9A0C  55      	push ebp
  75DA9A0D  8BEC     	mov ebp,esp
  75DA9A0F  8D45 14   	lea eax,dword ptr ss:[ebp+0x14]
  75DA9A12  50      	push eax
  75DA9A13  FF75 14   	push dword ptr ss:[ebp+0x14]
  75DA9A16  FF75 10   	push dword ptr ss:[ebp+0x10]
  75DA9A19  FF75 0C   	push dword ptr ss:[ebp+0xC]
  75DA9A1C  FF75 08   	push dword ptr ss:[ebp+0x8]
  75DA9A1F  FF15 C411DA7
      call dword ptr ds:[<&ntdll.NtReadVirtualMemory>] ; ntdll.ZwReadVirtualMemory

<&ntdll.NtReadVirtualMemory> 中调用 ntdll.KiFastSystemCall 函数,这里往eax里存放了一个编号,对应在内核中ReadProcessMemory的实现,在 0x7FFE0300处存放了一个函数指针,该函数指针决定了以什么方式进入0环(中断/快速调用)

  77A162F8  B8 15010000 	mov eax,0x115 // 对应操作系统内核中某一函数的编号
  77A162FD  BA 0003FE7F 	mov edx,0x7FFE0300 // 该地方是一个函数,该函数决定了什么方式进零环
  77A16302  FF12     		call dword ptr ds:[edx] ; ntdll.KiFastSystemCall

ntdll.KiFastSystemCall 中 调用 sysenter

  77A170B0  8BD4     mov edx,esp
  77A170B2  0F34     sysenter
  77A170B4  C3       retn

最低0.47元/天 解锁文章
红队蓝军
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次最简单的API编程与其逆向
1CHIG0的博客
03-07 1654
笔者是API和逆向的小白,本来通过知乎找到了一份教程http://www.winprog.org/tutorial/start.html学到一半感觉还是一知半解,而且没什么成就感。于是去向大佬求教,完成了这样的一套操作。思路是完成一个从目标文本文件中读取一串字符与目标字符串进行比较的程序,并将这个程序进行逆向。首先是程序的代码#include "windows.h" #include&lt;io...
几个逆向开发C++轮子
03-06
逆向工程,或者称为逆向开发,是一种技术手段,用于理解软件或硬件系统的工作原理,通常在调试、安全分析或代码重构中应用。在本文中,我们将深入探讨标题和描述中提到的几个C++逆向开发的“轮子”,即...
【逆向工程核心原理:API钩取】
qq_42363151的博客
04-04 509
运用在windows10 32bit Debug/Release。64bit参数结构、寄存器名字不同,需要修改才能使用。
逆向分析中常见的api函数
zbl116的博客
11-18 2669
1 comctl32.dll:Windows应用程序公用GUI图形用户界面模块。 2  imm32.dll:电脑的系统文件,与输入法密切相关。 3  SetDispositionInformationFile:设置部署信息文件 4  LockFile:可以锁定文件的一部分, 锁成功返回非0,他只能锁定一个打开的文件,给予锁定者以独占的模式。禁止其他线程访问。UnlockFile()解锁,类似
《逆向工程核心原理》学习笔记(四):API钩取
闵行小鱼塘
05-20 2366
继续学习《逆向工程核心原理》,本篇笔记是第四部分:API钩取,主要介绍了调试钩取、DLL注入实现IAT钩取、API代码修改钩取和全局API钩取等内容
网络爬虫-苏宁易购api_sign参数逆向解析
qq_39802740的博客
07-12 1110
失踪人口回归~~~ 今天给大家带来的是一个简单的js加密分析,废话不多说,先上目标站 [定向传送门](https://detail.vip.com/detail-1710615076-6919201301694309444.html 我们的目标就是采集到这个累计热卖xxx件。 右键查看源码可以发现并没有藏在静态的HTML中,可以分析出是通过XHR传递到页面上的,所以接下来我们进行抓包操作。 可以很轻松地找到这个接口,发现返回的数据里面有我们需要的,然后开始分析这个接口里面的参数,很明显我们发现了api_s
suning易购商城app api_sign参数逆向解析 最新现可用_x_req_block_加密 解密sign等参数
06-08
总结来说,要逆向解析苏宁易购商城App的`api_sign`参数,我们需要深入了解JS逆向工程,包括理解加密和混淆机制,分析可能的加密函数,以及利用Node.js进行解密操作。通过对`dfp.js`、`bd.js`、`index.js`和`MyProxy....
kxmall逆向生成工具
11-29
逆向生成工具通常包括反编译器、动态分析工具、内存调试器等组件,它们可以帮助我们理解程序的运行机制,找出潜在的漏洞,或者为重构或扩展现有系统提供依据。 "java"标签则表明这个逆向生成工具是与Java编程语言...
babycrypt 自己出的一道逆向题目
06-20
逆向工程,或者说逆向分析,是计算机科学领域的一个重要分支,主要涉及对软件的二进制代码进行理解和重构,以了解其内部工作原理。在这个过程中,通常会使用到各种工具,如反汇编器、调试器和动态分析工具等。在本题...
android逆向工具全部
08-14
在Android应用开发中,逆向工程是一个重要的环节,主要用于安全分析、漏洞挖掘、代码学习以及调试等目的。本文将详细探讨“android逆向工具全部”这一主题,介绍一些常用的Android逆向工具及其功能。 1. **Apktool*...
逆向用的API全集.txt
09-17
常见的简单介绍软件逆向常见API要用到的
SAPhIRE:简单的API逆向工程助手
02-05
SAP H IRE 小号imple APIřEVERSEËngineeringħelper 基本原理 SAP h IRE是一种工具,可协助对野外常见的任意API流进行逆向工程。 诸如身份验证协议之类的流通常是专有的,未记录的并且填充有缩小的JS,使它们完全被混淆。 它隔离“令牌” 饼干 标头 网址参数 HTML输入标签 请求中的表单字段 响应中的JSON ...并突出显示它们以使基本逻辑显而易见。 屏幕截图 卖点 识别类型时自动对令牌进行解码,以省去繁琐而繁琐的工作,以便在每次出现时手动完成。 智能解码器支持的类型: URL编码(额外:完全支持Unicode ) Base64编码
软件逆向、破解常用API函数大全.chm
06-11
软件逆向、破解常用API函数大全,介绍软件安全,逆向常用API函数。
某到家 逆向 API
qq_27739983的博客
05-14 198
某到家 自行整理,相关算法和重要api 已做脱敏处理 链接:GitHub V:Code-Bin 声明 本项目仅供技术研究,请勿用于任何商业用途,请勿用于非法用途,如有任何人凭此做何非法事情,均于作者无关,特此声明。 ...
加密与解密(逆向常用API
細水、長流√的专栏
04-13 3529
原地址戳我。 转自鱼C工作室。     在逆向中,我们常常需要从一些关键的API函数入手,大部分新手对此望而生畏!       小甲鱼在这里给大家整理出逆向中需要掌握和注意的API函数及其用法,希望大家喜欢^_^ DialogBoxes类型常用APIs(通常在注册界面获取) DialogBoxParamA GetDlgItem GetDlgItemInt
【JS逆向+Python模拟API请求】逆向某一个略微中等的混淆网站,并模拟调用api请求 仅供学习。注:不是源代码混淆,而是一个做代码混淆业务的网站,
最新发布
₰₯₮ 的博客
02-16 2065
逆向日期:2024.02.16使用工具:Node.js加密方法:RSA标准库文章全程已做去敏处理!!!【需要做的可联系我】
采用抓包的方式逆向获得谷歌翻译的API
u014723479的博客
12-26 3579
采用抓包的方式逆向获得谷歌翻译的API
[安全攻防进阶篇] 五.逆向分析之Win32 API获取及加解密目录文件、OllyDbg逆向其原理
杨秀璋的专栏
08-03 8115
这是作者安全攻防进阶篇,希望对您有所帮助。前文作者讲解了条件语句和循环语句源码还原及流程控制逆向方法,这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程,第三部分分享恶意软件如何通过宏脚本发送勒索信息或密码至用户邮箱。基础性文章,希望您喜欢~
重构-改善既有代码的设计》重构手法(重构API)
SuperYang_的博客
12-12 540
文章内容和思路来自《重构-改善既有代码的设计》 1> 将查询函数和修改函数分离:如果某个函数只是提供一个值,没有任何看得到的副作用,那么这是一个很有价值的东西。我可以任意调用这个函数,也可以把调用动作搬到调用函数的其他地方;这种函数的测试也更容易;简而言之,需要操心的事情少多了;任何有返回值的函数都不应该有副作用 2> 函数参数化:如果我发现两个函数逻辑非常相似,只有一些字面量值不同,可以将其合并成一个函数,以参数的形式传入不同的值,从而消除重复 3&...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值