恶意代码行为分析
qq_857305819
这个作者很懒,什么都没留下…
展开
-
MFC中取出编辑框字符串转换成16进制
DWORD CTOD(CString m_Send){ char *stops, s[3] = {0}; unsigned char d[10] = {0}; DWORD realLen = m_Send.GetLength(); DWORD len = m_Send.GetLength() / 2 + m_Send.GetLength() %2; bool bFlag = FALSE; if (m_Send.GetLength() % 2 == 1) { bFlag = TRUE;原创 2020-12-12 14:24:41 · 1829 阅读 · 2 评论 -
调试被别的进程创建的子进程
修改其子进程的OEP指向地址代码的前两个字节 0xfeeb,对应的汇编代码是JMP eip,子进程启动后一直在EIP处空转,这时就可以使用OD来附加子程序,在OEP处下一个断点,恢复原来的两个字节。然后就可以愉快的单步调试了。。。。。。。。。。。。。。。。。。。。。。。。。。。。...原创 2020-12-12 11:50:02 · 186 阅读 · 0 评论 -
IDA7.2显示中文的方法
博客地址原创 2020-12-10 11:14:51 · 3481 阅读 · 0 评论 -
WINDOWS注册表
根键:注册表被划分为称为根键的5个顶层节。有时,术语HKEY和储巢也被使用。每一个根键有一个特定的目的,我们接下来会逐一解释。子键: 一个子键就像是一个文件夹中的子文件夹。值项:一个值项是一个配对的名字和值。值或数据 :值或数据是存储在注册表项中的数据。注册表被划分为下面5个根键:HKEY_LOCAL_MACHINE(HKLM)保存对本地机器全局设置。HKEY_CURRENT_USER ( HKCU)保存当前用户特定的设置。HKEY_CLASSES_ROOT保存定义的类型信息。HKEY_CUR原创 2020-12-05 16:58:55 · 229 阅读 · 0 评论 -
ShellExecuteEx执行新进程,无需管理员权限写入注册表
使用ShellExecuteEx函数执行一个新的进程,当然这个进程也可以是自己,无需单独的去获取管理员权限就可以写入注册表,看来这又是木马的一个执行方式。// test.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include <windows.h>VOID ManagerRun(LPCWSTR exe, LPCWSTR param, INT nShow = SW_SHOW){ //注意:会跳出提示。 SHELLEXECUTEINFO原创 2020-12-05 11:11:31 · 588 阅读 · 0 评论 -
使用文件映射方式修改文件内容(木马常用此方式)
使用函数CreateFileMapping创建文件映射,然后调用MapViewOfFile把文件映射到进程中,可以通过直接修改进程里面的内存来达到修改文件内容的目的。// test.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include <windows.h>#include <shellapi.h>int _tmain(int argc, _TCHAR* argv[]){ HANDLE hFile = NULL, hM原创 2020-12-04 22:40:23 · 430 阅读 · 0 评论