萌新对C++编写的动态库逆向分析

最新推荐文章于 2024-01-02 14:33:39 发布
最新推荐文章于 2024-01-02 14:33:39 发布
阅读量660 收藏 3
点赞数
分类专栏: C语言 计算机 C++ c/c++ 互联网 编程 文章标签: C C++ C语言 C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41986518/article/details/88384789
版权
本文详细介绍了对C++编写的DLL.dll动态库的逆向分析,从行为分析出发,揭示了Run911()函数中的线程创建、通信类CCommunicate、CMD管理、进程窗口管理、文件管理和桌面管理等功能,涉及到C++的类和对象的多态特性。在分析过程中,发现了DLL与服务器的交互逻辑,包括数据的接收、处理和响应。
摘要由CSDN通过智能技术生成

DLL.dll 分析报告

0x00 样本信息

病毒名称:DLL.dll

MD5 值:9810a578f60f8ff2e376769adac9ef38

SHA1:c605455357fe22654a7b974a2a7d301a1b0d064e

SHA256:57e486fe50782e9fdfe73974baa88b553ba58eb5f99ef7386817a3d2e27430f5

这是小编准备的C++学习资料,加小编C/C++学习群:825414254,加群即可获取哦!

在这里插入图片描述

0x01 行为分析

在分析的过程中,发现代码中使用了大量的 ECX 寄存器(thiscall调用约定使用ECX寄存器传递this指针),并且在给ECX寄存器赋值之后马上调用了函数,所以我断定这应该是一个使用C++编写的样本。下面我将开始正式的分析。

我们查看其导出表,发现只导出了一个函数Run911(),所以,我们从这个函数入手分析这个样本。
在这里插入图片描述

当有程序加载这个动态库时,首先会给将DLL模块句柄保存到全局变量中。

在这里插入图片描述

Run911()函数,首先创建了一个线程。

在这里插入图片描述

1、线程中初始化一个与通信有关的类CCommunicate:

在这里插入图片描述

2、调用CCommunicate类的成员函数ConnectServer连接到服务器:
在这里插入图片描述

3、如果连接成功,创建了一个与通信有关的线程。

在这里插入图片描述

(1)该线程使用选择模型与服务器进程通信:

在这里插入图片描述

(2)如果接收到的数据长度小于等于0,则销毁当前类:

在这里插入图片描述

(3)否则调用CCommunicate类的DealPacket函数对接收到的数据包处理。

在这里插入图片描述

(4)DealPacket函数对收到的数据进行存储、解码、存储解码后的数据,解析获得真正

最低0.47元/天 解锁文章
Python编程导师
关注
专栏目录
C++软件开发值得推荐的十大高效软件分析工具
dvlinker的技术专栏
10-31 2万+
C++软件开发值得推荐的十大高效软件分析工具
C++开发值得推荐的十大高效软件分析工具
最新发布
dvlinker的技术专栏
06-16 1万+
本文详细讲述在Windows C++软件的日常开发和维护的过程中用到的一些常用工具,借助这些工具,可以高效快速地分析和排查软件开发调试过程中遇到的各种问题。
【逆向】从逆向角度看C++
weixin_49816179的博客
01-02 1851
从逆向角度观察C++,了解程序执行时的内部机理。
C++ 逆向笔记2 创建DLL和调用
Jackie Yang
03-16 468
1创建dll项目 2 生成DLL 3核心类的一些作用 4Dll导出函数 5
mark一下逆向c++写的dll的套路
weixin_30813225的博客
03-27 189
c++写的几M的dll看着很dt,如果还是com写的。。如果还有一大堆加解密的东西= =静态 主要的类 this一定要用IDA建一个结构,this第一项是虚函数表指针,也要建立一个结构,结构上最好标上虚函数表的相对偏移,比如命名为struct ClassXX_vtable_0xAABB动态 一开始的时候下断点,有明显的字符串当然好。没有的...
DLL反编译(C++)工具
06-21
DLL反编译(C++)工具
逆向基础学习 C++编写dll文件 编写导出函数
勤能补拙
02-10 1524
一、创建DLL文件 利用VS2017新建dll项目,得到三个cpp文件 其中dll1.cpp定义dll文件的导出函数 核心入口函数:dllmain.cpp // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" //核心入口函数 DLL文件 动态链接库入口函数 BOOL APIENTRY DllMain( HMODULE h...
【逆向】动态链接库
一个努力生活的人的博客
05-11 821
动态链接库dll
wx防撤回_c++防撤回_逆向_C++_whaleai2_微信防撤回_
09-28
在IT行业中,尤其是在网络安全和软件逆向工程领域,"wx防撤回_c++防撤回_逆向_C++_whaleai2_微信防撤回_"这个标题涉及到一系列关键技术点。下面将对这些知识点进行详细解释。 首先,"微信防撤回"指的是针对微信应用...
基于X86的C/C++ 反编译器
10-05
C-Decompiler是一个基于x86的C/C++语言反编译器,它读取pe文件,产生对应的C/C++代码. 目前C语言的基本反编译功能已完成,C++部分刚刚开了个头,正在开发中。此版本非常不稳定,仅做演示用!它能很好的反编译自带的56个测试例子,但对于用户自己提供的测试例子可能会有问题!用户若进行测试,建议使用简单例子,可以修改56个例子反编译出来的结果,重新编译生成新的测试例子。 56个例子中,绝大部分是采用VC2003进行编译的,有debug版本和release版本。VC6,VC2005,VC2008各有4个测试例子,分别是采用向导生成的console和win32程序,分为debug版本和release版本。 该反编译器是下班后熬夜敲代码敲出来的,已有一年多了。孤军奋战很累,发布该演示版本,只为广交志同道合的朋友,寻求合作机会,并听听大家的看法和意见。 期待大家的反馈! 任何更新会通过本人网站进行发布。谢谢关注! 本人邮箱:kawarchen@gmail.com 网站: www.c-decompiler.com
dll动态链接库查看、反编译工具5合1
06-20
包含多个dll、exe文件查看及反编译工具 dllshow dll view ResourceHacker_V3.5.2_XiaZaiBa.exe Reflector(超级震撼功能vc\vb\sap.net程序一网打尽)
C#通过CLR Wrapper 成托管方式调用C++编写的动态链接库
如是道程序人生
06-12 2000
一、目的 C#确实在工控行业用的很多,各种大型自动化开发平台越来越多的基于.net桌面应用的开发,但无论是winform还是WPF,速度真的是个问题,比如西门子的TIA-Portal,安装文件动辄几十G,配置稍微低的电脑运行起来卡顿的要吐血几斗。 大型工控程序,还是用C/C++或其他同效率的语言开发吧! 本文主要记录一下C#最简单的调用C++编写动态库的一种方式,也是本人常用的一种方式,把核心逻辑用C/C++封装成DLL,然后基于CLR给这些DLL再做一个封装后,直接供C#使用,这样做,还有一个目的,就是
关于Cython生成的so动态链接库逆向
qq_59700927的博客
12-13 2931
TPCTF maze引发的一些列操作
【Android 逆向】逆向修改游戏应用 ( 分析应用结构 | 定位动态库位置 | 定位动态库中的修改点 | 修改动态库 | 重打包 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-29 1473
一、应用结构分析、 二、定位动态库位置、 三、定位动态库中的修改点、 四、修改动态库、 五、重打包、
逆向基础学习 动态链接库基础
勤能补拙
01-29 855
DLL DLL是Dynamic Link Library的缩写,意为动态链接库。 在windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。一般来说,DLL是一种磁盘文件,以.dll、.DRV、.FON、.SYS和许多以.EXE为扩展名的系统文件都可以是DLL(动态链接库)。 比如:Windows系统就是由许多的动态链接库(...
【Android 逆向】x86 汇编 ( 使用 IDA 解析 x86 架构的动态库文件 | x86 汇编语言分析 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-12 1208
x86 汇编语言分析
Crackme2.exe(C++语言逆向)
Onlyone_1314的博客
03-05 1071
Crackme2.exe Rules: Do not Patch Sniff a serial for your name write a keygen 首先运行程序,随便输入用户名和注册码,发现输出Error 用IDA打开,找到关键代码: 代码的主要逻辑就是这: 所以这个程序的主要逻辑就是将我们输入的用户名进行一些计算,然后将结果与我们输入的序列号进行比较,相等则输出“Correct :: Good Work”。 我们将程序加载进OD中去,然后搜索字符串,找到对应的位置: 然后进入到关键代
第八章 Android 原生程序开发与逆向分析(六)(原生 C++ 程序逆向分析 - 原生 so 动态库逆向分析
zlmm741的博客
04-12 3052
文章目录原生 so 动态库逆向分析 原生 so 动态库逆向分析 原生 so 动态库可用 C 或 C++ 开发,除了前面介绍的代码特性,so 动态库还可用 JNI 接口函数来实现 Java 层与 Native 层的通信 实例:之前的 ndkjnidemo 用 IDA 载入 arm64-v8a 的 libnative-lib.so,查看 Java_com_droider_jnidemo_MainAc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值