这篇文章主要讲解了“Guloader ShellCode的作用是什么”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“Guloader ShellCode的作用是什么”吧!
根据上一张追踪的流程 可以分析ShellCode部分
这一节分析对ShellCode第一部分 反虚拟机进行关键部分分析
具体流程如下:
通过fs:[0x30]PEB 找到Kernel32.dll模块 ---> 根据Kernle32.dll模块 找到LoadLibraryA函数 ---> 通过LoadLibraryA加载ntdll.dll模块
--->通过ntdll.dll模块 然后获取到NtQueryVirtualMemory函数 --->通过调用NtQueryVirtualMemory 获取自身内存 然后对内存里面的数值 进行算法运算 得到一个特征码--->比较压入堆栈的特征码 如果比较成功证明在虚拟机环境中运行 否者就是 在真实物理机运行
堆栈里面压入的是虚拟机特征码
获取到NtQueryVirtualMemory函数
调用NtQueryVirtualMemory函数 从0x10000开始检查 内存地址
看看关键位置
将这里条件改为无条件 就能绕过反虚拟机
其实里面获取 ntdll.dll模块 获取函数 都是通过一个函数加密模块名/函数名 达到静态分析 肉眼不能直接看出。。。
感谢各位的阅读,以上就是“Guloader ShellCode的作用是什么”的内容了,经过本文的学习后,相信大家对Guloader ShellCode的作用是什么这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是亿速云,小编将为大家推送更多相关知识点的文章,欢迎关注!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。