起因 趁还有印象赶紧动笔 程序行为分析器采用DLL注入的方式实现,类似于 hProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPID)); pRemoteBuf=VirtualAllocEx(hProcess,NULL,dwBufSize,MEM_COMMIT,PAGE_READWRITE); WriteProcessMemory(hProcess,pRemoteBuf,szDLLName,dwBufSize,NULL); hMod=GetModuleHandle("ke…
前言 我们在分析一个程序的时候,通常的步骤是拖进PEid等工具查壳,看区段和引用,然后拖进OD等调试器脱壳,或者IDA等工具查看源码,来对程序有个大体上的了解。然而在分析病毒样本的时候,脱壳要费一番功夫,反调试又是一道坎。接着在关键API或者字符串下断,查看运行情况,还得担心可能的暗桩或程序自带的钩子。往往一番功夫下来,连病毒是做什么的,怎么做的都不知道,绕进反调试或反混淆里面出不来。就算是定位到了关键API,参数的获取和处理也是一个难题,毕竟涉及到内存的分布、系统内部类或结构体的变量定义与解析的问题。 换一种思路…
基本数据类型的表现形式和操作指令 整型 无符号整数 在内存中,无符号整数的所有位都用来表示数值。 当无符号整型不足32位时,用0填充剩余高位,直到占满变量类型的空间。 内存存放数据的方式有两种,小尾存放和大尾存放。小尾存放是以字节为单位,按照数据类型的长度,高数据位对应高地址,低数据位对应低地址。如0x12345678的小尾存放方式为78 65 43 21 ,高尾为 12 34 56 78 有符号整数 有符号整数用来表示正负的是最高位(符号位)。最高位为0表示正数,1为负数 有符号整数的取值范围比无符号整数少1位。…
自动存储 在默认情况下,在函数中声明的函数参数和变量存储类型为auto,作用域为局部。 如果在代码块中定义了变量,则该变量的存在时间和作用域被为代码块 在函数体内部代码块中声明与代码块外部名称相同变量时,程序执行到代码块内部时将该变量解释为局部代码块变量,新的定义隐藏了旧的定义。程序离开代码块时,原来的定义重新可见 全局声明的auto变量具有外部链接性,两个源文件中不能声明同名称的全局auto变量 使用extern关键字引用同名外部变量 //1.cpp int t = 5; int main() { ... } /…