基本信息 样本名:1 分析环境及工具:windows7 x64、IDA 7.0、OD md5:6426350e8787b601cf89b67da89d8269 查壳 无壳 行为预览 遍历注册表 遍历进程 跨进程读遍历进程内存 创建本地线程 打开了其他进程 访问了网络 设置特殊文件夹属性 具体分析 前 ...
分类:
其他好文 时间:
2020-06-13 10:30:21
阅读次数:
90
实现原理: 由于遍历进程通常是通过调用WIN32 API函数 EnumProcesses 或是CreateToolhelp32Snapshot 等来实现的。 通过跟踪逆向这些WIN32 API函数可知,它们内部最终是通过调用ZwQuerySystemInformation函数来检索系 统进程信息的, ...
分类:
系统相关 时间:
2020-05-03 16:28:11
阅读次数:
89
study_fridafrida视频教程第一课frida环境搭建链接:https://pan.baidu.com/s/19SjTTYsimjHNkmspovbdEg提取码:k83iandroid篇第二课遍历进程中所有模块信息(名称、基址等等)、所有java类、类所有函数链接:https://pan.baidu.com/s/1AxdMwCQrGZpozVRispz5vg提取码:6arw第三课hook
分类:
其他好文 时间:
2020-02-28 22:43:11
阅读次数:
184
[toc] 一丶简介 整理一下windows内核中.常用的代码.这里只整理下进程的相关代码. 二丶 windows内核之遍历进程 内核中记录进程的结构体是 EPROCESS 结构.所以只需要遍历这个结构即可.标准方法可以使用 ZwQuerySystemInformation 函数.使用 System ...
为了省去自己注册窗口类,创建窗口类可以直接使用Windows提供的API 函数:DialogBox(hInstance, MAKEINTRESOURCE(IDD_DIALOG_MAIN), NULL, DialogProc); //注册快捷键 F1 RegisterHotKey(hwnd, 1, 0 ...
分类:
系统相关 时间:
2019-06-25 13:38:11
阅读次数:
130
0x00 相关说明: Windows应用层如果要遍历当前进程所加载的模块可以使用WIN32API通过进程快照来实现 通过PEB来遍历进程模块没有WIN32API的使用痕迹,在某些场合更加好用 其中32位应用程序的 PEB 的地址可以通过 fs:[0x30]获取,fs:[0]为TEB结构的地址 0x0 ...
分类:
编程语言 时间:
2019-05-14 23:09:43
阅读次数:
528
``` #include #include #include #include #include #include #pragma comment (lib,"Psapi.lib") BOOL DosPathToNtPath(LPTSTR pszDosPath, LPTSTR pszNtPath) ... ...
分类:
系统相关 时间:
2019-04-22 12:06:08
阅读次数:
260
版权声明:专注于计算机网络安全学习 https://blog.csdn.net/u011672712/article/details/51586030 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 ...
分类:
编程语言 时间:
2018-08-23 16:58:36
阅读次数:
506
本博客的Delphi代码使用的版本均为DelphiXE10.x 1.1 .枚举进程 通过进程名称获取指定的进程ID,代码很详细,不再赘述 1.2 枚举进程将符合条件的进程PID存储容器 此处遇到一个问题,原本想使用数组作为返回值,但是没有成功,只好利用泛型使用TList,如果有朋友能搞定不胜感激 ...
原理:遍历进程ID,然后openprocess,能打开的都枚举出来 ring0 : ring3 : ...
分类:
系统相关 时间:
2017-08-25 15:06:11
阅读次数:
293