溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇內容主要講解“什么是Guloader”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“什么是Guloader”吧!
1.直接使用DIE對程序進行探測 發現是Microsoft Visual Basic 6.0 寫的加載器
2.使用ProcessMom進行對程序探測 就發現查詢了一次注冊表 并發現是在虛擬機里面運行 就結束自身進程
證實里面有檢測虛擬機代碼。
使用API Trace工具 進行API Trace
發現使用VirtualAlloc分配了內存空間 并將執行流 執行到新分配的內存空間 執行ShellCodo代碼
3.使用x64dbg 對VirtualAlloc進行下斷點
分析里面的調用參數得之 分配的內存大小是0x9000
內存屬性是PAGE_EXECUTE_READWRITE 讀寫執行
然后根據VirtualAlloc返回的內存地址 下硬件可執行斷點 F9運行 確實到達了VirtualAlloc申請的內存空間
根據堆棧回溯 定位到用戶調用ShellCode代碼的地方
4.現在可以根據VirtualAlloc的返回參數 將ShellCode dump下來 然后使用IDA靜態分析
Guloader ShellCode就提取出來了
到此,相信大家對“什么是Guloader”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
