恶意代码分析实战Lab1204

最新推荐文章于 2023-04-09 08:18:09 发布
最新推荐文章于 2023-04-09 08:18:09 发布
阅读量320 收藏 2
点赞数
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin66654/article/details/80624841
版权

GetModuleBaseName:获取文件进程完整路径

EnumProcesses:检索进程中的每一个进程标识符。带三个参数,DWORD 类型的数组指针 lpidProcess;该数组的大小尺寸 cb;以及一个指向 DWORD 的指针 pBytesRrturned,它接收返回数据的长度。DWORD 数组用于保存当前运行的进程 IDs。pBytesRrturned 返回数组所用的内存大小

这里就需要根据main中的分析,以及函数调用规则来判断40312C的值了,eax是GetProcAddress的返回值,GetProcAddress是一个计算机函数,功能是检索指定的动态链接库(DLL)中的输出库函数地址。lpProcName参数能够识别DLL中的函数。

所以,dword_40312C的值是EnumProcessModules的地址

同样的,403128的值是GetModuleBaseNameA的地址

这样就可以理解这样的函数调用了:


函数

最低0.47元/天 解锁文章
Flying_Fatty
关注
专栏目录
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 218
恶意代码实战详细分析
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1915
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意代码分析实战12-04
Yale的博客
09-20 809
本次实验我们将会分析lab12-04.exe文件。先来看看要求解答的问题 Q1.位置0x401000的代码完成了什么功能? Q2.代码注入了哪个进程? Q3.使用LoadLibraryA装载了哪个DLL程序? Q4.传递给CreateRemoteThread调用的第4个参数是什么? Q5.二进制主程序释放出了哪个恶意代码? Q6.释放出恶意代码的目的是什么? 首先使用Peview载入 可以看到CreateRemoteThread创建远程线程的函数以及LoadResource和FindResourceA等资
恶意代码分析实战》实验——Labs-09
草草君
10-22 982
恶意代码分析实战》实验——Labs-09 记录《恶意代码分析实战》中的实验,提供相关链接: 电子书的下载 i春秋由相关实验的视频教程 标题《恶意代码分析实战》实验——Labs-09Labs-09-01实验Labs-09-02实验Labs-09-03实验 Labs-09-01实验 Labs-09-02实验 Labs-09-03实验 静态分析: 1. 查壳,无壳 2. 查看导入表: KERNEL32.dll, (读取、复制、创建和修改文件,获取文件名和 删除文件,创建进程,对比字符串,获取系统版本
恶意代码分析实战Lab09-01.exe
weixin_41487541的博客
03-01 741
首先进行查壳,使用peid查询后发现无壳。之后静态分析应该进行查看字符串和导入表,但是这个程序有点大,也都会一步步分析到字符串和导入表,所以这两步跟动静分析一起结合。 IDA打开实验文件,在主函数开始首先看到命令行参数检查: 在402afd处看到对argc的比较,若参数个数为1则进入左侧执行,否则进入右侧。应注意的是在没有手动增加命令行参数时参数个数为1,就是如下效果: 所以若在不加参数情况时,会进入左侧执行:调用sub_401000函数: ...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战—实验9-2
qq_43481350的博客
09-01 592
实验环境: 实验设备环境:windows xp 实验工具:PEID,IDAPro,Ollydbg 实验过程 1、Lab09-03.exe导入了哪些dll? 我们可以通过查找PEID查看导入函数: 但是有些dll是在程序运行的时候才会加载的,所以我们需要采用IDA进行静态分析,如果想要在程序运行中加载dll文件,就需要使用loadlibrary这个API函数,查找imports窗口中的函数,双击进入,在函数上点击ctrl+X获得交叉引用窗口如下: 我们点击第一个引用函数进入: 发现其引用的是dll3.d
恶意代码分析实战 第九章课后实验 Lab09-03
Stronger_99的博客
04-14 1005
问题1: 首先用peid查看导入表: 这里发现了四个,分别是kernel32.dll netapi32.dll DLL1.dll DLL2.dll 。还有些.dll是在程序运行时加载的,用ida打开Lab09-03.exe。如果想要在程序运行时动态加载.dll文件一般要调用LoadLibrary这个函数,点开Imports,找到LoadLibrary: 双击查看,然后在地址...
恶意代码分析实战Lab09补充
ACdream
03-08 423
按照题的标号来的,先从书中找,然后贴网上Writeup的学习历程Lab0901-in : 安装; -c : 更新配置; -cc : 打印配置; -re:删除因为自己都是猜的,没有调试出来过,只知道密码是abcd,且没有成功安装和运行程序在地址4026cc处,打开了一个服务管理器,basename是去除目录路径和文件扩展名信息之后的文件名,若basename不存在,则创建了一个自启动服务根据自己的分...
GetModleFileName与GetModuleBaseName的区
jiangqin115的专栏
05-03 5899
GetModleFileName返回进程名包含路径   GetModuleBaseName返回进程名不包含路径      下面是获取当前进程名的方法   GetModleFileName(NULL, lpText, sizeof(lpText));   GetModuleBaseName(GetCurrentProcess(), NULL, lpText, sizeof(lpText))
逆向——反调试
wk19951125的博客
04-15 1064
逆向——基础分析基础分析(二) 基础分析(二)
连傻瓜都能看懂的基于代码注入的线程守护技术
Cpp肥兔的博客
08-31 2159
目标:在远程进程中注入一个线程,用来守护本地进程不被关闭 硬件平台:X86 操作系统:Windows XP Professional SP2 编程环境:VC6.0 Enterprise Edition 读者要求:知道计算机是什么,知道汇编语言是什么,由于本文中代码用C描述,所以还要知道C语言,好像只要具备这三点就够了
2014-03-13周四:返回进程名函数:GetModleFileName和GetModuleBaseName的区别
勿忘初心,安得始终
03-13 1836
转自:http://blog.csdn.net/love3s/article/details/8029173 GetModleFileName返回进程名包含路径 GetModuleBaseName返回进程名不包含路径 下面是获取当前进程名的方法 GetModleFileName(NULL, lpText, sizeof(lpText)); GetModuleBaseName
【游戏逆向】常见锁定目标进程的方法分享
最新发布
douluo998的博客
04-09 1337
当我们分析完游戏逻辑,收集了足够的游戏数据之后就可以动手开发一款专属于自己的辅助工具。而开发辅助的第一步就是先找到游戏进程,锁定游戏进程之后接下来才能在考虑辅助功能的实现是选择改数据、改代码还是CALL函数。锁定目标进程从实现上来讲可以分为三类:1、根据进程名或进程路径锁定目标进程;2、根据窗口名锁定目标进程;3、无脑全系统注入所有进程,在进程内在判断是否为目标进程。所谓根据进程名锁定目标进程说的直白一些就是先枚举系统进程得到当前系统中运行的所有进程信息,然后对比进程名称或者进程路径来判断是不是目标进程。
恶意代码分析实战 --- 第十二章 隐藏的恶意代码启动
abelxu
06-09 651
一、常用的隐藏技术 启动器 进程注入 进程替换 Hook注入 Detours APC注入 二、Lab12-1 1.行为分析 执行之后的效果是每隔一段时间会弹窗。 查看process momitor。可以发现psapi.dll被createFileMapping进内存,可能是修改了CreateFileMapping. 2.Lab12-1.exe 主要流程分析 1.初始化:通过LoadLibrary和GetProcAddress来获得EnumProcessModules、GetModuleBaseNam
恶意代码分析实战 --- 第九章 OllyDbg
abelxu
05-24 978
Lab 9-1 查看程序的导入了Service相关、注册表相关、文件操作相关、网络连接相关的API,还有ShellExecute函数可能是存在后门的命令执行。 字符串主要是cmd.exe和一个注册表SOFTWARE\Microsoft \XPS比较可疑 主流程分析 1.如果运行程序是否有参数。无参数查询注册表”SOFTWARE\Microsoft \XPS\Configure“.查询失败删除文件 2,查看最后一个参数是否为abcd,再根据参数-in -re -c -cc执行相应命令 打开注册表 LS
Combat-Lab实战:从CCNA到CCIE的路由技术解析
"Cisco路由案例实战(combat-lab 内部资料)" 本文档是一份由Combat-Lab机构编写的实验手册,旨在提供Cisco路由器相关的实战经验与案例,适合CCNA、CCNP、CCIE以及H3CNE、H3CSE等认证的学习者。Combat-Lab强调理论...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值