您好,登錄后才能下訂單哦!
這篇文章主要講解了“Guloader ShellCode的作用是什么”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“Guloader ShellCode的作用是什么”吧!
根據上一張追蹤的流程 可以分析ShellCode部分
這一節分析對ShellCode第一部分 反虛擬機進行關鍵部分分析
具體流程如下:
通過fs:[0x30]PEB 找到Kernel32.dll模塊 ---> 根據Kernle32.dll模塊 找到LoadLibraryA函數 ---> 通過LoadLibraryA加載ntdll.dll模塊
--->通過ntdll.dll模塊 然后獲取到NtQueryVirtualMemory函數 --->通過調用NtQueryVirtualMemory 獲取自身內存 然后對內存里面的數值 進行算法運算 得到一個特征碼--->比較壓入堆棧的特征碼 如果比較成功證明在虛擬機環境中運行 否者就是 在真實物理機運行
堆棧里面壓入的是虛擬機特征碼
獲取到NtQueryVirtualMemory函數
調用NtQueryVirtualMemory函數 從0x10000開始檢查 內存地址
看看關鍵位置
將這里條件改為無條件 就能繞過反虛擬機
其實里面獲取 ntdll.dll模塊 獲取函數 都是通過一個函數加密模塊名/函數名 達到靜態分析 肉眼不能直接看出。。。
感謝各位的閱讀,以上就是“Guloader ShellCode的作用是什么”的內容了,經過本文的學習后,相信大家對Guloader ShellCode的作用是什么這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。