#独家
shellcode网络验证以及病毒分析

我们先接着说shellcode环境配置

我们大家学C语言或者C++时候,主函数还知道咋写的吗?int main()?不论你是int main还是void main这不是重点,如果我让你操作一个东西

int Sermymain()
{

ptintf(“你好”);
}

我说这个是C语言,这也可以C++的主函数你信不?我这样写它会正常运行,你信不?
知道的人,自然不足为奇,我们在做shellcodeshellcode网络验证以及病毒分析 shellcode网络验证以及病毒分析 shellcode网络验证以及病毒分析 shellcode网络验证以及病毒分析 shellcode网络验证以及病毒分析配置,第一个要知道C语言和C++入口点都是可以被自定义的,vc6.0 vs2013-2019基本是都可以,去项目属性,找到高级,链接器,然后有个入口点,你可以进行设置,但是你发现,改了你照做是不会报错,但不能运行,因为你没写一个链接linker里面写的是这个自己百度你写在头部就可以了。然后就可以运行了,网上也有这种教程。

第二就是我们需要干的shellcode配置,例如软件生命周期,检查,有需要可以去配置关掉

接下来我继续说,这里可能还涉及另外一样东西

shellCode编写原则:函数动态调用int SemryMain(){ return 0;}
shellCode杜绝一切绝对地址的绝对调用.GetProcAdress API获取函数地址第一个参数加载动态链接库句柄用LPVOID lp=GetProcAdress(LoadLibarayA(“user32.dll”),”MessageBoxA”);_asm{push 0push 0push 0push 0call lp}可以得到和直接输出MessageBoxA 一样的效果CreateFileA(“你好.txt”,GENRIC_WRITE,0,NULL,CREATE_ALWAYS,0,NULL);LPVOID lp=GetProcAdress(LoadLibarayA(“kernel32.dll”),”CreateFileA”);typedef HANDLE (WINAPI*FN_CreateFileA)( _In_ LPCSTR lpFileName, _In_ DWORD dwDesiredAccess, _In_ DWORD dwShareMode, _In_opt_ LPSECURITY_ATTRIBUTES lpSecurityAttributes, _In_ DWORD dwCreationDisposition, _In_ DWORD dwFlagsAndAttributes, _In_opt_ HANDLE hTemplateFile );
FN_CreateFileA fn_CreateFileA;
fn_CreateFileA=(FN_CreateFileA)GetProcAdress(LoadLibarayA(“kernel32.dll”),”CreateFileA”);
fn_CreateFileA(“你好.txt”,GENRIC_WRITE,0,NULL,CREATE_ALWAYS,0,NULL);
替换->CreateFileA 可以达到一样的CreateFileA一样的效果.

这就是shellcode基本配置了。后期我会继续说。

然后接下来讲网络验证,前面我讲过了一些性质,我不在重复了,想了解可以看前面的帖子。
这里不讲破解,这里我们讲一些简单的,我这里有一个简简单单的卡密,软件,我们把软件拉入od,
我们既然是分析,我们看到几个东西,有我上面说的,获取地址,信息弹框,还有一个值得大家学习的东西,有兴趣可以去看看,静态链接库,以及
举个例子,我说user32.dll里面调用的是哪些API函数,易语言封装的也是一样,只是它以英文形式存储,之前忘记说,为啥用shellcode,我们的exe软件,就哪怕你不写代码,也可以生成一个exe,但是这个exe,你看起来啥代码没写,但是它已经给你生成了一大堆的函数,例如ExitProcess 退出函数 读取进程函数,可以用ida去研究研究。

看到字符串,下面那些什么群链接改成你的,不难吧?可以用转到立即数进行改,但是呢,我想说,如果这是vmp加密的,你需要打补丁了,打补丁我就不说了,这个你起码都要会。如果那种特殊的sp本地验证加vmp验证你都找不出来这些,但是演示就不说那么多。

这种软件建议多单步几次,以防后面运行不了。

之前说文件偏移,你看这个peid也是有的,如果是加壳的,不一定是准的,或者有的是改的,这个看情况了吧!一般研究shellcode那些人连入口点都改,这些肯定都得动动手脚了。好了本期教程到此结束了

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (1)

未尽作者允许,禁止恶行转发,所以版权归原创者所以,如有违规永久封号。

梦凡源巢 编程技术 shellcode网络验证以及病毒分析 https://www.mengfan.co/1320.html

快乐为本

常见问题
  • 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。
查看详情
  • 最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用
查看详情

相关文章

评论
暂无评论