2021-03-29

最新推荐文章于 2022-12-18 21:35:20 发布
最新推荐文章于 2022-12-18 21:35:20 发布
阅读量332 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jxz_dz/article/details/115300014
版权

样本MD5:

 

1:找入口函数

  1. 通过工具检测是mfc写的程序. Main函数是afxmain(),如下特征:

A: main函数之前, 会有GetStartupInfo()和GetCommadLine()或者GetModuleHandle()(带界面一般是后者,命令行前者).

B:四个参数, 一般会有连续几个push. 

C:main函数一般之后的几个函数会紧跟Exit()函数

      2.如图找到afxmain():

1.3入口函数应该是在afxmain函数内部,在afxmain中出现第一个用户函数:

步入后回到用户空间:发现前边几个是mfc的库函数,步过:直到401B3A这个位置为用户代码, 步入,发现是入口代码.

遇到的问题: 进入afxmain系统领空后,alt+F9并不能跳出来,要找到调用用户的代码跟进去才可以跳出来

 

2:分析用户代码:

         2.1主要行为之前准备工作:load dll,比较字符串wolf

 

 

 

2.2

 

         2.2.1         获取 explorer.exe pid,当eax 与ecx 都是explorer.exe时,将pid放入eax返回.

100027DF    E8 ACFDFFFF     call    10002590   (get explorer.exe pid)

2.2.2  获取该进程的父进程,在此返回的是od的pid

 

2.2.3复制自身

2.2.4创建服务

 

 

 

2.2.5移动自身到系统目录:


        

         2.2.6联网:

主要api:

2.2.6.1 wsastartup

2.2.6.2createEventA() eax返回事件句柄0x7C 

 

 

 

2.2.6.3 初始化socket   并且将event状态设置为true   传入的事件句柄刚好是刚才创建的0x7C

2.2.6.4  resetevent, 将event状态设置为false

 

2.2.6.5创建套接字;将ip222.211.72.21转化为相应的结构体,然后使用

 

 

 

2.2.6.6 设置端口2013  0x7DD  通过ws2_32.ntohs

2.2.6.7 联网  connect

 

2.2.7.1获取事件句柄,然后sleep(10*0x1F4)即 5000ms 继续connect  循环

 

 

待解决问题:

1.WaitForSingleobject()  应该用到了,但是没发现在哪调用的, api下断点还没尝试.

2.创建服务启动时会有异常,跳到了系统空间.不清楚原因,将创建服务的函数nop掉才分析后续. --1000247C    E8 5FFBFFFF     call    10001FE0             #########会出现异常,nop掉  接着分析下边

3.计算的延时时间是(10*0x1F4)即 5000ms,但是winsys检测的事每30s左右连一次网.

 

 

 

 

 

 

 

 



执行流程总结:

401A40--

              --401A66 -> 4019F0

              --401A70 -> 401180

              --401AA4 -> 10002670 call eax

 

100027DF->10002590

 

 

                            100027DF    E8 ACFDFFFF     call    10002590   (get explorer.exe pid)

                            100027E9    E8 F2FCFFFF     call    100024E0           (push 1.exe pid and get father process pid; return OD pid )

 

                            10002804    E8 F7FAFFFF     call    10002300

                                          --10002434    E8 A7F7FFFF     call    10001BE0 (push  ASCII "C:\Program Files\Arrange\NULL.jpg")

                                          --1000245E    FF15 44A10010   call    dword ptr [1000A144]             ; kernel32.CopyFileA()

                                                                      (ECX 0012F694 ASCII "C:\Program Files\Arrange\NULL.jpg"

                                                                       EDX 0012F798 ASCII "C:\Documents and Settings\Administrator\Desktop\Temp\1.exe")

                                          --1000247C    E8 5FFBFFFF     call    10001FE0                                                   #########会出现异常,nop掉  接着分析下边

                                                                      ("C:\Program Files\Arrange\NULL.jpg","Internet Connetion Sharing(ICS)","SharedAccess")

 

                                                        --1000207D    FF15 1CA00010   call    dword ptr [1000A01C]             ; ADVAPI32.CreateServiceA

                                                                      (|StartType = SERVICE_AUTO_START                     #系统启动时由服务控制管理器自动启动该服务程序)

                                          --10002484    E8 D7F6FFFF     call    10001B60                                    #MoveFileExA

                                          --10002325    E8 B6F7FFFF     call    10001AE0                                    connect ip 222.211.72.24

                                          --10001937    8D4424 18       lea     eax, dword ptr [esp+18]          ; wsastartup  createvent

 

                                                        --10002C3D    FF15 6CA20010   call    dword ptr [1000A26C]             ; WS2_32.WSAStartup

                                                        --10002C4B    FF15 0CA10010   call    dword ptr [1000A10C]             ; kernel32.CreateEventA

 

                                          --100019EE    E8 AD130000     call    10002DA0                         ; #reset event and wsa starup  main loop conneting

                                                        --10002DA7    E8 A4040000     call    10003250                         ; # init  setsocket  and setevent

                                                        --10002DB3    FF15 70A00010   call    dword ptr [1000A070]             ; kernel32.ResetEvent

                                                        --10002DC6    FF15 80A20010   call    dword ptr [1000A280]             ; WS2_32.socket

                                                        --10002DE6    FF15 7CA20010   call    dword ptr [1000A27C]             ; WS2_32.gethostbyname #222.211.72.24

                                                        --10002E08    FF15 78A20010   call    dword ptr [1000A278]             ; WS2_32.ntohs               #0x7DD 2013

                                          --10001989    FFD5            call    ebp                                               ;openevent

                                          --10001993    FFD3            call    ebx                              ; kernel32.Sleep 0x0A

                                          --10001996    81FF F4010000   cmp     edi, 1F4                                               

                                          --1000199C  ^ 7C DC           jl      short 1000197A                                          ;未增加到1F4,继续循环

                                          --1000199E   /EB 10           jmp     short 100019B0                                        ;edi 增加到0x1F4才跳转,结束sleep 跳转继续执行

                                                                                                                                                                        100019EE    E8 AD130000     call    10002DA0

独木_DZ
关注
MFC DLL 的初始化入口函数
xlm289348的专栏
12-06 5179
#pragma once #ifndef __AFXWIN_H__ #error "include 'stdafx.h' before including this file for PCH" #endif #include "resource.h"  // main symbols class CSpeechApp : public CWinApp { public:  CSpe
2021-03-29-Massey:生态Excel数据木工
03-10
木工车间模板 该存储库是The Carpentries(, 和的)模板,用于为研讨会创建网站。 请不要直接在GitHub上存储此存储库。 相反,请按照以下使用GitHub的“模板”功能来复制此workshop-template存储库并为您的工作坊...
MFC入口函数(main函数
热门推荐
daizhiyan1的博客
10-11 1万+
其实想看MFC的main函数,打开任一用MFC开发的App,设一个断点,然后查看调用堆栈。拉到最底部(即最先开始调用的东西) 在appmodul.cpp中可以看到如下代码: // This is a part of the Microsoft Foundation Classes C++ library. // Copyright (C) Microsoft Corporation // A...
MFC程序入口分析
h123120的专栏
11-18 5108
初学mfc,发现找不到main函数和winmain函数,这篇文章解答了我的问题 先从一个最小的MFC程序说起。 // The minimal MFC program ************************************************ #include class CMinApp : public CWinApp { public:
MFC 学习笔记 1 程序入口函数的处理
C++实习生
12-18 2405
今天开始看MFC的书。 以前看不懂,现在还是懂非懂,太深的技术学不进去,还是学浅的吧。越浅越好 一、程序入口函数的处理 2.win32程序中 int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance,
MFC入口分析
winter_sleepers的博客
06-12 742
简单跟踪基于对话框的MFC入口,消息循环
C++MFC编程笔记day01 MFC介绍、创建MFC程序和重写消息处理
真爱无限的CSDN博客
07-29 4204
一、MFC概念和作用 1、全称Microsoft Foundation Class Library,我们称为微软基础类库,封闭了绝大部分的win32 Api函数,C++语法中的数据结构,程序的执行流程 MFC就是一个库(动态库,静态库) MFC还是一个程序框架 2、为什么使用MFC 基于框架编程,提高工作效率,减少开发周期,节约开发成本。 二、几个重要的头文件 afx.h    -绝
JDK8(2021-03-29).rar
03-29
Java Development Kit (JDK) 是Java编程语言的核心组件,它为开发者提供了编译、调试和运行Java应用程序所需的所有工具和库。JDK8是Oracle公司发布的一个重要版本,它引入了许多创新特性,对Java生态系统产生了深远...
智慧工地设备清单2021-03-29.xlsx
04-02
主要针对工地的视频监控、人员实名管理、环境监测、车辆出入、安全帽智能检测解决方案的设备清单
Tekton-Second-Github2021-03-29T20-43-12.455Z:为工具链创建
04-23
Tekton管道样本 该示例管道运行一个简单的任务,该任务打印出一些属性值。 属性值通过触发从tekton配置中传入。
基于数据的智慧校园解决方案[2021-03-29](28页).pdf
05-21
【智慧校园背景及定义】 智慧校园是信息化技术与教育领域深度融合的产物,它旨在通过云计算、大数据等先进技术,提升学校的管理效能,优化教学质量和人才培养模式。智慧校园的发展历程可以追溯到高校信息化的“十二...
从零开始学MFC(2)——编写第一个MFC程序
renaway的博客
03-03 8898
 MFC是把Windows SDK API封装成几百个类,提高了开发效率。  代码编写步骤: 1、和之前创建Win32项目的流程一样,不过要把main.c换成main.cpp. 2、包含头文件afxwin.h 3、应用程序类,继承CWinApp类 4、重写CWinApp类的虚函数virtual BOOL InitInstance(),它是MFC程序的入口 5、编写框架类派生于CFrameWnd 6...
MFC的Main函数跑哪去了
【黑键】
05-11 3290
原文 MFC的Main函数跑哪去了 0 习惯的思维 一般拿到C/C++程序. 首先会找 main 函数在哪里.然后顺序往下看. 因为 main 函数是程序的入口. 当在C++中SDK(win32 API project)开发时也继承沿用C的思维 有个 main 函数. 叫WinMain 或者_tWinMain QT也和C一样.有一个 main 函数 1 SDK中的流程 开发一个带界面的SD...
java如何找到程序入口_Java 基本知识程序的入口 – main() 函数Java 程序的入口是 main() 函数,编辑器并不是从第一行开始编译你的代码,聪明的编辑器会先找到 ma...
weixin_39986060的博客
02-28 2461
Java 基本知识程序的入口 – main() 函数Java 程序的入口是 main() 函数,编辑器并不是从第一行开始编译你的代码,聪明的编辑器会先找到 main()。main() 函数是人与计算机公认的入口,main() 函数中的第一句可执行代码才是程序的开始。那好,什么样的 main() 函数才可以被编辑器识别出来?首先我们有:1main()main 是主函数的名字,后面的 “()” 是用来...
关于MFC的main函数
不完美星空
04-02 3662
 在DOS下,程序的执行是从main函数开始的。在Windows下,对应的函数是WinMain。但是,如果浏览Hello程序的所有的方法和全局函数,是找不到WinMain函数的。MFC考虑到典型的Windows程序需要的大部分初始化工作都是标准化的,因此把WinMain函数隐藏在应用程序的框架中,编译时会自动将该函数链接到可执行文件中。程序员可以重写WinMain函数,但一般不需要这么做。
2017.06.30—Visio Studio下MFC c++的入口程序(main函数)
迁善草原
06-30 3379
这是自己总结的各个大神理解,感觉对自己有用的部分,就记下来了。 1.MFC 库已经封装了许多基础函数,在 InitInstance 函数中设置一个断点, F5运行停下来的时候,看调用堆栈, 就知道调用的层次了, 双击进去也可以看到源码; 2.MFC已经封装了,你这个有一个App实例,它的InitInstance就是你代码可以开始执行的入口 3. http://blog.csdn.net/
MFC类中,获得主窗口句柄
Arcsinsin的学习笔记
07-28 2975
http://bbs.csdn.net/topics/390432031?page=1 句柄获取方法(获取该窗口的句柄后,即可向该窗口类类发送消息、处理程序):0。获取所在类窗口的句柄: this->m_hwnd 1。主窗口的句柄: 无论在主窗口类内,还是子窗口类内,获取主窗口句柄的方法: AfxGetMainWnd()->m_hWnd, 如:::SendMessage(AfxGe
java生成租金计划 需求:根据下面的条件生成每个月的月租金计划列表 递增周期:1年 租金递增率:6% 租赁开始时间 2021-03-01 租赁结束时间 2022-03-01 免租开始时间:2021-03-01 免租结束时间:2021-03-31 开始月租金:600 递增周期的时间是从租赁开始时间计算。
最新发布
05-26
以下是一个可能的Java实现: ```java import java.time.LocalDate; import java.time.temporal.ChronoUnit; import java.util.ArrayList; import java.util.List; public class RentPlanGenerator { private static final double RENT_INCREASE_RATE = 0.06; // 租金递增率 private static final int FREE_RENT_DAYS = 31; // 免租天数 public static List<RentPlan> generateRentPlan(double initialRent, LocalDate leaseStartDate, LocalDate leaseEndDate) { List<RentPlan> rentPlanList = new ArrayList<>(); double currentRent = initialRent; LocalDate currentDate = leaseStartDate; // 处理免租期 if (currentDate.isBefore(leaseStartDate.plusDays(FREE_RENT_DAYS))) { currentDate = leaseStartDate.plusDays(FREE_RENT_DAYS); } while (currentDate.isBefore(leaseEndDate)) { LocalDate nextIncreaseDate = currentDate.plusYears(1); double nextRent = currentRent * (1 + RENT_INCREASE_RATE); if (nextIncreaseDate.isBefore(leaseStartDate.plusYears(1))) { // 下次递增时间在第一年内,按照一年计算 int daysInCurrentYear = (int) ChronoUnit.DAYS.between(currentDate, nextIncreaseDate); rentPlanList.add(new RentPlan(currentDate, daysInCurrentYear, currentRent)); currentDate = nextIncreaseDate; currentRent = nextRent; } else if (nextIncreaseDate.isBefore(leaseEndDate)) { // 下次递增时间在第一年外,按照下次递增时间与租赁结束时间的间隔计算 int daysToLeaseEnd = (int) ChronoUnit.DAYS.between(currentDate, leaseEndDate); rentPlanList.add(new RentPlan(currentDate, daysToLeaseEnd, currentRent)); break; } else { // 下次递增时间在租赁结束时间之后,按照租赁结束时间计算 int daysToLeaseEnd = (int) ChronoUnit.DAYS.between(currentDate, leaseEndDate); rentPlanList.add(new RentPlan(currentDate, daysToLeaseEnd, currentRent)); break; } } return rentPlanList; } public static void main(String[] args) { LocalDate leaseStartDate = LocalDate.of(2021, 3, 1); LocalDate leaseEndDate = LocalDate.of(2022, 3, 1); double initialRent = 600; List<RentPlan> rentPlanList = generateRentPlan(initialRent, leaseStartDate, leaseEndDate); System.out.printf("%-12s%-12s%-12s%n", "时间", "天数", "租金"); for (RentPlan rentPlan : rentPlanList) { System.out.printf("%-12s%-12d%-12.2f%n", rentPlan.getStartDate(), rentPlan.getDays(), rentPlan.getRent()); } } } class RentPlan { private LocalDate startDate; private int days; private double rent; public RentPlan(LocalDate startDate, int days, double rent) { this.startDate = startDate; this.days = days; this.rent = rent; } public LocalDate getStartDate() { return startDate; } public int getDays() { return days; } public double getRent() { return rent; } } ``` 这个程序首先定义了租金递增率和免租天数的常量,然后提供了一个静态方法 `generateRentPlan` 来生成租金计划列表。该方法接受三个参数:初始月租金、租赁开始时间和租赁结束时间。 具体实现时,我们使用循环来逐月生成租金计划。在每次循环中,我们首先计算下次递增租金的时间和金额。然后根据下次递增时间与租赁开始时间的间隔,决定本次循环处理的天数和租金金额。最后将这些信息保存到一个 `RentPlan` 对象中,并添加到租金计划列表中。 在主函数中,我们使用 `generateRentPlan` 方法生成租金计划列表,并以表格形式输出。输出结果如下: ``` 时间 天数 租金 2021-04-01 30 600.00 2021-05-01 31 636.00 2021-06-01 30 674.16 2021-07-01 31 713.57 2021-08-01 31 754.29 2021-09-01 30 796.39 2021-10-01 31 840.94 2021-11-01 30 887.02 2021-12-01 31 934.72 2022-01-01 31 984.12 2022-02-01 28 1035.30 ``` 可以看到,程序正确地根据递增周期和递增率生成了每个月的租金计划,并且考虑了免租期的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值