溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Guloader ShellCode的作用是什么

發(fā)布時間:2021-07-06 10:59:59 來源:億速云 閱讀:171 作者:chen 欄目:編程語言

這篇文章主要講解了“Guloader ShellCode的作用是什么”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“Guloader ShellCode的作用是什么”吧!

根據上一張追蹤的流程 可以分析ShellCode部分
這一節(jié)分析對ShellCode第一部分 反虛擬機進行關鍵部分分析

具體流程如下:

通過fs:[0x30]PEB 找到Kernel32.dll模塊 ---> 根據Kernle32.dll模塊 找到LoadLibraryA函數(shù) ---> 通過LoadLibraryA加載ntdll.dll模塊
--->通過ntdll.dll模塊 然后獲取到NtQueryVirtualMemory函數(shù) --->通過調用NtQueryVirtualMemory 獲取自身內存 然后對內存里面的數(shù)值 進行算法運算 得到一個特征碼--->比較壓入堆棧的特征碼 如果比較成功證明在虛擬機環(huán)境中運行 否者就是 在真實物理機運行

堆棧里面壓入的是虛擬機特征碼
Guloader ShellCode的作用是什么

獲取到NtQueryVirtualMemory函數(shù)
Guloader ShellCode的作用是什么

調用NtQueryVirtualMemory函數(shù) 從0x10000開始檢查 內存地址
Guloader ShellCode的作用是什么

看看關鍵位置
Guloader ShellCode的作用是什么

將這里條件改為無條件 就能繞過反虛擬機

其實里面獲取 ntdll.dll模塊 獲取函數(shù) 都是通過一個函數(shù)加密模塊名/函數(shù)名 達到靜態(tài)分析 肉眼不能直接看出。。。

感謝各位的閱讀,以上就是“Guloader ShellCode的作用是什么”的內容了,經過本文的學習后,相信大家對Guloader ShellCode的作用是什么這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!

向AI問一下細節(jié)

免責聲明:本站發(fā)布的內容(圖片、視頻和文字)以原創(chuàng)、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI