萌新对C++编写的动态库逆向分析

最新推荐文章于 2024-01-31 20:23:33 发布
VIP文章 最新推荐文章于 2024-01-31 20:23:33 发布
阅读量613 收藏 3
点赞数
分类专栏: C语言 计算机 C++ c/c++ 互联网 编程 文章标签: C C++ C语言 C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41986518/article/details/88384789
版权

DLL.dll 分析报告

0x00 样本信息

病毒名称:DLL.dll

MD5 值:9810a578f60f8ff2e376769adac9ef38

SHA1:c605455357fe22654a7b974a2a7d301a1b0d064e

SHA256:57e486fe50782e9fdfe73974baa88b553ba58eb5f99ef7386817a3d2e27430f5

这是小编准备的C++学习资料,加小编C/C++学习群:825414254,加群即可获取哦!

在这里插入图片描述

0x01 行为分析

在分析的过程中,发现代码中使用了大量的 ECX 寄存器(thiscall调用约定使用ECX寄存器传递this指针),并且在给ECX寄存器赋值之后马上调用了函数,所以我断定这应该是一个使用C++编写的样本。下面我将开始正式的分析。

我们查看其导出表,发现只导出了一个函数Run911(),所以,我们从这个函数入手分析这个样本。
在这里插入图片描述

当有程序加载这个动态库时,首先会给将DLL模块句柄保存到全局变量中。

在这里插入图片描述

Run911()函数,首先创建了一个线程。

在这里插入图片描述

1、线程中初始化一个与通信有关的类CCommunicate:

在这里插入图片描述

2、调用CCommunicate类的成员函数ConnectServer连接到服务器:
在这里插入图片描述

3、如果连接成功,创建了一个与通信有关的线程。

在这里插入图片描述

(1)该线程使用选择模型与服务器进程通信:

在这里插入图片描述

(2)如果接收到的数据长度小于等于0,则销毁当前类:

在这里插入图片描述

(3)否则调用CCommunicate类的DealPacket函数对接收到的数据包处理。

在这里插入图片描述

(4)DealPacket函数对收到的数据进行存储、解码、存储解码后的数据,解析获得真正的数据,存储要传送的真正的数据。

在这里插入图片描述

(5)在完成对数据包的解析后调用CCommunicate类中的成员变量this[33],该变量是个函数指针,但是该指针在类的构造函数中并没有初始化,该成员变量的初始化是在CManager类中进行初始化的,将CManager类this指针传递给CCommunicate类中this[33]进行保存。

4、如果与服务器连接成功则发送本机的信息到服务器。

在这里插入图片描述

5、构造了一个CManager类的派生类CKernelManager类,

最低0.47元/天 解锁文章
Python编程导师
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++编写DLL动态链接库的步骤与实现方法
09-01
主要介绍了C++编写DLL动态链接库的步骤与实现方法,结合实例形式分析了C++导出类文件及生成与调用DLL动态连接库的相关操作技巧,需要的朋友可以参考下
C++反汇编与逆向分析-读书笔记
qq_20031585的博客
05-04 1191
很多程序是由C++/MFC开发的,逆向必须掌握C++开发的流程,不用多么精通,看得懂源码,知道对应的汇编,即可。
170722 逆向-DLL基础
whklhhhh的博客
07-22 1539
1625-5 王子昂 总结《2017年7月22日》 【连续第293天总结】 A. DLL基础 B. DLL工作方式构建DLL  头文件,其中包含待导出函数的原型、结构和符号的声明   C/C++源文件,其中包含待导出函数的实现和变量   编译器为每个C/C++源文件生成.obj文件   连接器将每个.obj模块合并,从而生成DLL   如果至少导出了一个函数/变量,那么连接器会同时生
C++程序正向编译逆向反编译(一)
最新发布
dzqxwzoe的博客
01-31 2167
并不是windows系统自带的保护机制,并不是说一个确实存在溢出漏洞的程序,放到带securitycookie保护的环境中,就不能正常溢出了。其原理是在所有变量入栈前,多压入一个变量(随机数),然后函数执行完之后,再去检查这个数是不是一样的,这也是一个编译器行为,_RTC_CheckStackVars第一个参数是函数要检查的栈顶地址,第二个参数指向结构体_RTC_framedesc。该结构体第一个参数是压栈的局部变量个数,第二个参数保存局部变量相关信息。分别是变量的栈偏移地址,变量大小和变量的名字。
逆向基础学习 C++编写dll文件 编写导出函数
勤能补拙
02-10 1462
一、创建DLL文件 利用VS2017新建dll项目,得到三个cpp文件 其中dll1.cpp定义dll文件的导出函数 核心入口函数:dllmain.cpp // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" //核心入口函数 DLL文件 动态链接库入口函数 BOOL APIENTRY DllMain( HMODULE h...
C++逆向安全教程150全集---2020年木塔老师新教程
mutashizhe的博客
01-10 4614
法律声明:教程不会涉及指定公司的网游测试,不会提供任何游戏的数据或者侵害游戏公司的版本问题。教程目的是数据分析原理和提高安全技术。逆向技术必须按照国家法律来实施。测试的游戏纯属技术研究,禁止非法用途。 **概述:**课程涉及从新手开始,因为C语言C++历史已经有了几十年,积累大量的概念和庞大知识体系,知识量10年估计都学不完的(很多知识一辈子可能用不上的),这套课程抽取了C和C++常用的核心内容...
逆向破解之破解补丁与劫持Dll
xf555er的博客
08-22 4892
有些加了壳的程序会导致其在未完全解密完成的情况下出现如下汇编代码当软件运行后,其真正的汇编代码才会呈现出来,也就是我们常说的“吐壳”在程序没有把壳完全吐出来前,我们需要通过代码来判断这个程序是否吐完壳了,最好的方法就是判断某个内存地址的值是否是解密完成后的值这里我就选4010F0内存地址的值53来判断程序是否吐完壳了简单来说劫持dll就是劫持系统的dll,弄一个包含恶意代码的dll来伪装成系统dll,然后把这个dll和程序放在同一目录,程序会优先调用含有恶意代码的dll本次实例演示劫持系统的。
DLL隐藏和逆向
m0_75243362的博客
11-08 1149
DLL注入新手详解示例
逆向】【Part 3】DLL注入
lanlanla的成长历程
01-08 1245
目录 一、通过自制调试器来理解其原理 1.调试器的工作原理 实现反汇编功能(重点) 重点分析exception_debug_event 重点:1.对调试器程序增加异常处理操作功能,核心API,CONTEXT结构 二、DLL注入 重点:2.DLL注入的三种基本方法 1.利用全局消息钩子(Windos消息钩取( SetWindowsHookEx() API )) 2.写注册表 3...
转一篇DLL逆向的文章,适用于一般的dll逆向
weixin_30435261的博客
11-18 2140
转一篇DLL逆向的文章,适用于一般的dll逆向,我使用的库是一组DLL,都有强签名,如下方法不适合,编译会提示强签名错误。 C# 带签名dll破解 Mar 9, 2016|C#|84Hits 转自http://blog.fwhyy.com/2016/03/csharp-with-signature-dll-crack/?utm_source=tuicool&utm_...
逆向并还原dll文件中的函数和参数
weixin_30852573的博客
05-19 757
当然实际上还有很多这种dll,不过很多时候我们要向逆向别人的程序,就需要通过修改dll文件来达到目的,但是一般程序dll和windows系统自带的dll的内容是不一样的,需要我们逆向过后才能知道如何使用,而不是像使用自带的dll一样,可以直接在网上查询到资料,所以这就需要我们逆向分析。这里我们需要对spyxxhk.dll这个文件进行分析,我们主要以两种方法来实现获取它文件中的所有函数,分别为软件获取和代码获取。kernel32.dll :进程、线程、内存管理、文件访问等核心api。
使用c++编写和使用.so动态链接库
12-22
1,使用 c 生成动态链接库mylib.so的简单示例  声明文件mylib.h   #ifndef __MY_LIB_H__ #define __MY_LIB_H__ void foobar(int i); #endif /* __MY_LIB_H__ */  实现文件...
Qt调用C\C++语言编写的动态链接库示例
06-10
Qt调用C\C++语言编写的动态链接库示例, #ifndef ENGINEMODEL_H #define ENGINEMODEL_H #include "macrodef.h" typedef struct inputdata { real altp; real Mach_number; real PLA; } INPUTDATA; typedef ...
Qt下使用C++调用静态库及动态库示例程序
03-24
使用简单的程序展示了C++调用动态库和静态库的方法。 文件结构: exe:笔者部署可运行文件,因开发环境版本不同,可能存在无法直接使用的情况,两个部署文件(copy_ldd.sh及useLib1.sh)可以结合文章分享的(ubuntu下...
C#调用C++动态库,执行回调函数并传递结构体参数
12-25
c#调用C++动态库、执行回调函数,并回传结构体参数数据。vs2017环境编写C#和C++动态库,这个为完整工程例子,可供相关人员学习参考。
Unity 【Content Size Fitter】- 聊天气泡自动适配Text文本框大小
当代野生程序猿
02-25 5273
通常在展示人物对话的时候文本的长度是不定的,因此会需要动态的调整对话内容文本框的背景图片的大小,这里以如下这种气泡框的对话为例: 实现该需求涉及到的内容包括Content Size Fitter组件的使用、2D Sprite工具包的使用。 Content Size Fitter组件用于Text文本框,如图所示,我们将Horzontal Fit设为Preferred Size,当我们调整Text文本框中的内容时,其大小会自动进行调整。 注意Rect Transform中Pivot轴心点的设置
新唐NUC972 Linux(一):USB烧写linux出厂镜像
小破孩的博客
02-20 2919
USB烧写出厂镜像 文章目录USB烧写出厂镜像前言一、硬件连接二、安装驱动三、烧写linux程序四、运行程序 前言 今天开始进军linux,学了那么久单片机,也摸得七七八八,至少点个灯还是会的。本人之所以买酷客的linux开发板主要是便宜,资料也算齐全,虽然没有原子那么好,不过也够了,找那么多借口,其实就是qiong。今天先从USB烧录官方提供的linux相关程序到芯片开始吧。 一、硬件连接 1、连接电源线 2、RS232转USB,需要安装CH340驱动,用于在电脑串口超级终端中查看调试信息。 3、U
WeChall CTF Writeup(一)
weixin_43211186的博客
02-25 1176
以下题目标题组成: [Score] [Title] [Author] 文章目录0x01 1 Training: Get Sourced by Gizmore0x02 1 Training: Stegano I by Gizmore0x03 1 Training: Crypto - Caesar I by Gizmore0x04 1 Training: WWW-Robots by Gizmore0x05 1 Training: ASCII by Gizmore 0x01 1 Training: Get Sou
C语言每日一练——第126天:佩奇借书问题
热门推荐
Edison's 小宇宙
02-25 2万+
史上最强借书方案问题讲解(代码详解+思路分析+动图演示+特性总结)
c++简单动态库编写程序
06-10
下面是一个简单的 C++ 动态库编写程序的例子,假设你要编写一个名为 `mylib` 的动态库: 1. 创建一个名为 `mylib.h` 的头文件,定义你要导出的函数和变量,例如: ``` #ifndef MYLIB_H #define MYLIB_H ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值