首页
社区
课程
招聘
[原创]一个shellcode的样本学习记录
发表于: 2021-6-2 18:19 10152

[原创]一个shellcode的样本学习记录

2021-6-2 18:19
10152

一、样本分析

1、c0443397.exe

带数字签名

1、找shellcode入口

virtualprotect的参数:

既然已知会解密这里的内存 下一个内存写入断点,如果有写入操作就断下来

跳到shellcode起始位置设置为新的eip

第一个函数进行常规的加载dll,查找函数操作

shellcode中查找loadlibrary

第二个函数中解密第二层shellcode

第二层shellcode中启用新线程加载pe文件

先加载各种dll(user32、kernel32.。。)

使用的技术的进程镂空创建子进程,并将子进程的代码替换为恶意代码。

具体特征:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2021-6-3 11:20 被大河向东流哇编辑 ,原因: 图片未上传成功
上传的附件:
收藏
免费 5
支持
分享
最新回复 (2)
雪    币: 25418
活跃值: (4772)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
图片都不显示
2021-6-2 23:01
0
雪    币: 259
活跃值: (3475)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
3
huangyalei 图片都不显示
我靠。。。没注意  我补一下
2021-6-3 10:46
0
游客
登录 | 注册 方可回帖
返回
//