重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
这篇文章主要讲解了“Guloader ShellCode的作用是什么”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“Guloader ShellCode的作用是什么”吧!
创新互联是一家集网站建设,泰来企业网站建设,泰来品牌网站建设,网站定制,泰来网站建设报价,网络营销,网络优化,泰来网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。
根据上一张追踪的流程 可以分析ShellCode部分
这一节分析对ShellCode第一部分 反虚拟机进行关键部分分析
具体流程如下:
通过fs:[0x30]PEB 找到Kernel32.dll模块 ---> 根据Kernle32.dll模块 找到LoadLibraryA函数 ---> 通过LoadLibraryA加载ntdll.dll模块
--->通过ntdll.dll模块 然后获取到NtQueryVirtualMemory函数 --->通过调用NtQueryVirtualMemory 获取自身内存 然后对内存里面的数值 进行算法运算 得到一个特征码--->比较压入堆栈的特征码 如果比较成功证明在虚拟机环境中运行 否者就是 在真实物理机运行
堆栈里面压入的是虚拟机特征码
获取到NtQueryVirtualMemory函数
调用NtQueryVirtualMemory函数 从0x10000开始检查 内存地址
看看关键位置
将这里条件改为无条件 就能绕过反虚拟机
其实里面获取 ntdll.dll模块 获取函数 都是通过一个函数加密模块名/函数名 达到静态分析 肉眼不能直接看出。。。
感谢各位的阅读,以上就是“Guloader ShellCode的作用是什么”的内容了,经过本文的学习后,相信大家对Guloader ShellCode的作用是什么这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是创新互联,小编将为大家推送更多相关知识点的文章,欢迎关注!