Gh0st学习笔记之 Windows性能监视器

最新推荐文章于 2017-11-18 16:51:00 发布
最新推荐文章于 2017-11-18 16:51:00 发布
阅读量872 收藏
点赞数
分类专栏: C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/safedebug/article/details/17553531
版权


首先微软的东西,首先到微软的老窝找东西

http://msdn.microsoft.com/en-us/library/windows/desktop/aa373214(v=vs.85).aspx

第二步:

看到这几个东西

Create a query
Add counters to the query
Collect the performance data
Display the performance data
Close the query

这几个步骤,

在Gh0st中是这样用的

第一: 打开一个查询

	if (ERROR_SUCCESS != PdhOpenQuery(NULL, 1, &m_hQuery))
		return FALSE;

第二: 添加了一个监视器

其中关键的为第二个,他直接用了一个常量字符串

char szCounterName[] = "\\Processor(_Total)\\% Processor Time";

	PDH_STATUS pdh_status = PdhAddCounter(m_hQuery, szCounterName, (DWORD) m_pCounterStruct, &(m_pCounterStruct->hCounter));


第三:

PdhCollectQueryData(m_hQuery);

第四: 

    if (ERROR_SUCCESS != PdhGetFormattedCounterValue( 
                                    m_pCounterStruct->hCounter,
                                    PDH_FMT_LONG,
                                    NULL,
                                    &pdhFormattedValue ))

第五: 

	PdhCloseQuery(m_hQuery);


分离之后 写成C形式如下:

http://download.csdn.net/detail/u012607841/6766897


这里有一篇文章,和我的不同的地方,就是在组合查询字符串的时候,用的是系统提供的api

http://blog.csdn.net/jcwkyl/article/details/3851826 




safedebug
关注
专栏目录
Gh0st样本分析
qq_38184895的博客
10-24 541
Gh0st样本分析 ###一.样本信息 文件名称: DD668456CF2F3B72773D1968487BDCD5.exe 文件大小:110KB MD5: DD668456CF2F3B72773D1968487BDCD5 SHA-1: 4E6D34B68E219BE56D8A1C0DA5B7FB8ECCD282B9 ###二.样本分析 0x01. GetInputState()用于隐...
Gh0st学习笔记之 关键段
Safedebug的博客
12-25 966
class CLock { public: CLock(CRITICAL_SECTION& cs, const CString& strFunc) { m_strFunc = strFunc; m_pcs = &cs; Lock(); } ~CLock() { Unlock(); } void Unlock() { LeaveCriticalSection
Gh0st Rat
Cwiky_1993的博客
09-06 1665
原文:http://download01.norman.no/documents/ThemanyfacesofGh0stRat.pdfGh0st被不同的组织所利用,Gh0st Rat(version3.6)源码公开。 特征: 1.magic word 2.www.wk1888.com 至少有两个magic word连接到该网站:Gh0st on port 8000, and cb1
记下一个锁的类日后方便使用
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-17 539
class CLock { public:     CLock(CRITICAL_SECTION& cs, const CString& strFunc)     {         m_strFunc = strFunc;         m_pcs = &cs;         Lock();     }     ~CLock()     {         Unlock
gh0st学习笔记.pdf
10-04
gh0st学习笔记.pdf】是一份关于gh0st3.6版本的恶意软件分析笔记,主要涵盖了服务端安装过程的解析。gh0st是一种远程控制木马,它通过安装服务来实现持久化驻留,并且能够进行远程操作。下面将详细解释其中的关键...
Gh0st 学习笔记之 zlib调用
12-24
本篇学习笔记将聚焦于`zlib`库在Gh0st(一个知名的远程访问工具)中的应用,讲解如何进行压缩和解压缩操作。 `zlib`是由Jean-loup Gailly和Mark Adler开发的,它实现了DEFLATE压缩算法,这是ZIP、PNG、GIF、TCP/IP...
gh0st-vs2017.zip_Gh0st_hist3n_muddqn_远程控制
07-14
总的来说,了解"gh0st-vs2017.zip_Gh0st_hist3n_muddqn_远程控制"中的知识点意味着我们需要关注恶意软件的发展动态,学习如何识别和防范这类威胁,保护我们的个人和组织免受远程控制软件的侵害。同时,这也提醒我们...
gh0st3.6_src红狼官方_源码_远程_Gh0st_远程控制_
10-02
这意味着用户不仅可以学习Gh0st软件的工作原理,还可以根据需要对其进行修改和定制,以适应特定的需求或环境。 【标签解析】 标签"远程 Gh0st 远程控制"进一步明确了主题,"远程"是指这种软件的功能,允许用户...
gh0st完全分离dat文件与dll文件
record
01-02 835
1. 搜索IDR_DLL 搜索IDR_BSS 注释: //IDR_BSS                 BSS     DISCARDABLE     "res\\install.exe" //IDR_BSS                 BSS     DISCARDABLE     "res\\install.exe" 2. 搜索ReleaseResource 搜索
我的键值你别碰(Troj.6to4ex恶意软件的清除)
afterain的专栏
06-02 679
近期发现一款恶意软件导致手工删除其BHO键值、挂起dll文件、强制删除等操作都会导致用户主机电脑关机重启。该流氓令许多手工杀毒爱好者在处理时都遇到了困境。清理专家的检测截图如下: 1.jpg (57.83 KB)2008-5-27 20:06毒霸2008用户针对该流氓的手工处理方法如下:1.使用金山清理专家的进程管理器,点击『找出存在风险的进程』后仔细查看会发现一个svchost
远控软件gh0st源码免杀之我谈
qingruo_yin的专栏
08-05 5279
远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就做好源码基础上的木马免杀工作。     好久没有来博客了,我把免杀这部分整理了一下,先抛一砖头,有兴趣的朋友可以接着做,也可以和本人交流
网络安全:手动清除gh0st远控服务端
ann__1121的博客
06-13 476
手动清除gh0st远控服务端 为什么我们要手动清除木马呢? 我们在做免杀或者在对gh0st大的修改的时候或者后门被意外破坏,不能用客户端自带的清除,这个时候就需要手动来清除。特别是我们在对一台肉鸡进行测试失败后(被杀或者dll释放了,没有上线),就需要手动清除,否则我们永远没法再上线了。 病毒分析: --------------------------------...
黑客内参--黑产攻击途径升级,云服务成重灾区
weixin_33922670的博客
11-18 238
在黑客内参的印象里,黑产以及相关的肉鸡DDOS攻击总是离黑客内参很远。可实际情况并非如此,特别是在云服务大行其道的今天。日前,黑客内参就观察到了国内云服务中Gh0st远控新样本出现爆发式增长,并就此进行了分析溯源。在经过黑客内参反病毒工程师一系列分析后,黑客内参发现这些样本在云服务上的应用分为两种:1,使用大量低配置云服务器进行样本生成和分发,明显的典型黑产团队化操作行为。2,黑客利用漏洞进行渗透...
ST教学分析:相同行为连续数
weixin_34018169的博客
12-10 1716
转载自:http://zhidao.baidu.com/link?url=cm8k1RuA3fZ8FQCHYXXiY7xseVs5IJo63A8oq3FZwhSgaGNe4c2U2ZDpBToGYn513WBS--qxWqnxRBMBWGLStW8PNUB8BQqSmFDOoWtuDtW var arr=[3, 4, 13 ,14, 15, 17, 20, 22];js如何判断一组数字是否连续,...
Gh0st启动流程
星空下的约定
12-09 1360
仅是笔记,存在错误,并未写完,请勿阅读,谢谢1、CGh0stApp–>Initlnstance() 1)配置界面信息及其他 2)从.ini文件中读取监听端口ListenPort和最大连接数MaxConnection,并做相应的调整 3)调用((CMainFrame*) m_pMainWnd)->Activate(nPort, nMaxConnection)去激活服务器,
wke 调用教程
Safedebug的博客
10-14 7050
代码下载地址:
通过进程PID获取 HWND
Safedebug的博客
02-12 5365
// dddddddddd.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include HWND GetWindowHandleByPID(DWORD dwProcessID) { HWND h = GetTopWindow(0); while ( h )
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值