《逆向工程核心原理》第33章源码分析(下)

最新推荐文章于 2023-11-16 11:14:52 发布
最新推荐文章于 2023-11-16 11:14:52 发布
阅读量239 收藏
点赞数
分类专栏: API HOOK 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41170946/article/details/104216431
版权
本文详细分析了逆向工程中关于Windows平台的源码,重点讲解了Stealth2.cpp如何实现隐藏目标进程和注入子进程。通过钩取CreateProcessA, CreateProcessW, ZwQuerySystemInformation函数,实现全局进程注入。文章分为HideProc2.cpp和Stealth2.cpp两部分,其中Stealth2.cpp的DllMain和NewCreateProcessA起到关键作用,确保新创建的进程被Hook。" 113899553,10293372,微信JS-SDK配置与签名生成详解,"['微信开发', 'JS接口安全域名', '微信授权', '网页集成']
摘要由CSDN通过智能技术生成

1 HideProc2.cpp

作用是将Dll注入到当前存在的所有进程。
HideProc2.cpp与HideProc.cpp相比只是减少了参数个数,不再赘述。

2 Stealth2.cpp

作用是隐藏目标进程和注入子进程。
一次性钩取三个函数,CreateProcessA,CreateProcessW,ZwQuerySystemInformation实现全局钩取

2.1 DllMain()

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
   
    char            szCurProc[MAX_PATH] = {
   0,};
    char            *p = NULL;

    // 异常处理使注入不会发生在 HideProc2.exe 
    GetModuleFileNameA(NULL, szCurProc, MAX_PATH);
    p = strrchr(szCurProc, '\\');
    if( (p != NULL) &&
最低0.47元/天 解锁文章
zakyi
关注
专栏目录
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文对您有所帮助~
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6175
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
逆向工程核心原理》第33源码分析(上)
qq_41170946的博客
02-07 318
1.hideproc.cpp 用于注入DLL 1.1InjectAllProcess() BOOL InjectAllProcess(int nMode, LPCTSTR szDllPath) { DWORD dwPID = 0; HANDLE hSnapShot = INVALID_HANDLE_VALUE; PROCE...
逆向工程核心原理源代码
qq_39249347的博客
08-08 2176
链接:https://pan.baidu.com/s/1qvXbeE9AIZyTpVTKIIyuGA 提取码:zofw
逆向工程核心原理
weixin_34406061的博客
01-08 2127
逆向工程核心原理》 基本信息 作者: (韩)李承远    译者: 武传海 丛书名: 图灵程序设计丛书 出版社:人民邮电出版社 ISBN:9787115350183 上架时间:2014-4-15 出版日期:2014 年4月 开本:16开 页码:1 版次:1-1 所属分类:计算机 > 软件工程及软件方法学 > 综合   更多关于》》》《逆向工程核心原理》  ...
逆向工程核心原理:代码注入】
qq_42363151的博客
03-24 1611
c代码注入和汇编代码注入
逆向工程核心原理
最新发布
m0_73148547的博客
11-16 775
逆向工程核心原理
逆向工程核心原理》----第28 汇编进行代码注入
qq_55785697的博客
05-23 1276
一、dll注入和代码注入的区别 1.首先字面意思,前者将整个包含攻击函数的dll注入到其他进程中去,后者直接注入可独立运行的代码,也被称为线程注入。 dll注入:将攻击函数包含在dll中,加载dll则会执行,然后用VirtualAllocEx给目标进程分配空间,WriteProcessMemory写入该dll,并用LoadLibarary加载kernal32,然后用GetProcAddress得到LoadLibarary的地址,最后创建一个远程线程,执行LoadLibarary加载dll。 代码注入:
逆向工程核心原理(1)逆向基础
qq_30379221的博客
03-16 1031
所有资源可以在官网下载 代码逆向工程 逆向分析法 静态分析 不执行代码,观察外部特征,获取其文件类型、大小、PE头、Import/Export API、字符串、是否运行时解压缩、注册信息、调试信息、数字证书、反汇编代码等 动态分析 在程序文件执行的过程中对代码进行分析。 一般首先静态分析,再进行动态分析。 逆向Hello World 代码如下: #include<windows.h>...
逆向工程核心原理》第32源代码结构分析
qq_41170946的博客
02-06 319
hookiat.dll // include #include "stdio.h" #include "wchar.h" #include "windows.h" // typedef typedef BOOL (WINAPI *PFSETWINDOWTEXTW)(HWND hWnd, LPWSTR lpString); // globals FARPROC g_pOrgFunc = NU...
逆向工程核心原理》学习笔记(一):代码逆向技术基础
闵行小鱼塘
12-12 3325
开始学习逆向,从《逆向工程核心原理》这本经典开始,本篇笔记是第一部分:代码逆向技术基础
逆向工程核心原理读书笔记-代码注入
liujiayu2的专栏
06-09 1160
代码注入是一种向目标进程插入独立运行代码并使之运行的技术,它一般调用CreateRemoteThread()API以远程线程形式运行插入的代码,所以也被称为线程注入。 和DLL注入相比代码注入占用内存少并难以查找痕迹。所以DLL注入技术主要用在代码量大且复杂的时候,而代码注入技术则适用于代码量小且简单的情况比如shellcode。下面我们先测试一下代码。 运行notepad.e
逆向工程核心原理:abex's crackme#1 0x02 190603
爱党人士
06-03 521
中间介绍的寄存器,栈什么的都是汇编基础, 注意16位和32位的区别即可。 abex’s crackme 是一个著名的简单小程序。 初学者也会容易理解。 下载见上几遍的云盘链接的文件。 首先打开,看看是什么类型的, 继续点, ok,大概知道这是判断你的电脑c驱动器类型,然后返回正确或者error, right,拉进od, main函数直接位于ep,用汇编语言编写的程序实锤了。 果然, 那么直接...
逆向工程核心原理-逆向基础(基于Ollydbg201与Hello World的逆向调试)
m0_74220316的博客
07-06 1268
我们编写的源码经过编译转化为exe可执行文件,而exe则是二进制文件,在分析二进制文件时,为了更好地理解它,我们通过调试器进行反汇编处理,将二进制代码转化为汇编语言指令代码。
逆向工程核心原理1:基本介绍
dengshengli123的博客
06-25 1938
逆向工具主要分为以下几种,每种对应特定的用途IDA pro :    主要用于静态分析,能够还原成C代码Ollydbg :    主要用于动态进程调试,能够直接挂载进程进行内存修改(例如外挂等)ProcessExplorer :    进程查看工具。。。。。。。。。。。。。文未完,后续需要持续补充。。。。。。。。。...
逆向工程核心原理——代码注入
weixin_46601374的博客
12-22 3149
什么是代码注入? 代码注入是一种向目标进程插入独立运行代码并使之运行的技术,它一般调用CreateRemoteThread()API以远程线程形式运行插入的代码,所以也被称为线程注入。 使用代码注入的原因 其实,代码注入要实现的功能与DLL注入类似,但具体实施时要考虑的事项更多,使用起来 更加不便。那它的优点究竟是什么呢? 1.占用内存少 如果要注入的代码与数据较少,那么就不需要将它们做成DLL的形式再注入。此时直接采用 代码注入的方式同样能够获得与DLL注入相同的效果,且占用...
Rational Rose逆向工程:C++代码与数据库结构分析
"这篇文主要介绍了如何使用Rational Rose进行C++代码和数据库结构的分析,强调了Rational Rose作为一款强大的UML建模工具在逆向工程中的作用,特别是对于理解现有C++系统代码结构和数据库模式的重要性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值