GetModuleFileNameA获取病毒的自身路径

最新推荐文章于 2021-07-02 10:57:39 发布
最新推荐文章于 2021-07-02 10:57:39 发布
阅读量1.3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/huadetianxia/article/details/16945913
本文介绍了一个Windows API函数GetModuleFileName的使用方法,该函数用于获取当前进程已加载模块的完整文件路径。通过示例代码展示了如何调用此API并将获取到的信息打印输出。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

获取当前进程已加载模块的文件的完整路径,该模块必须由当前进程加载。

DWORD WINAPI GetModuleFileName(

    _In_opt_  HMODULE hModule, //模块句柄
    _Out_     LPTSTR lpFilename, //存放地址
    _In_      DWORD nSize //大小
);

#include "stdafx.h"
#include "windows.h"
int main(int argc, char* argv[])
{
char path[80];
GetModuleFileName(0,path,80);
printf("Hello World!\n");
return 0;
}


反汇编代码:

00401210         /$  8B4424 04   mov     eax, dword ptr [esp+4]  ;  auto.00408A70
00401214         |.  68 04010000 push    80                ; /BufSize = 80
00401219         |.  50          push    eax                 ; |PathBuffer
0040121A         |.  6A 00       push    0                   ; |hModule = NULL
0040121C         |.  FF15 6C7040>call    dword ptr [<&KERNEL32.GetModule>; \GetModuleFileNameA ;把病毒的文件路径保存在eax里
00401222         |.  F7D8        neg     eax         
00401224         |.  1BC0        sbb     eax, eax
00401226         |.  F7D8        neg     eax
00401228         \.  C3          retn

[系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理
杨秀璋的专栏
01-07 5603
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢! IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功
获取当前模块所在路径的GetModuleFileName函数用法详解
G171104的博客
07-03 1372
经常需要把数据保存到当前执行文件路径下面&#xff0c;或者读取当前执行文件路径下的一些配置信息。这时就需要从当前模块里获取所在的目录路径&#xff0c;就需要调用API函数GetModuleFileName来获取模块所在的路径。本文详细介绍了GetModuleFileName函数的用法,该函数可以用于获取当前模块所在的路径,方便进行文件操作和读取配置信息。hModule是模块的句柄&#xff0c;#010 //获取当前执行文件的路径。#001 //获取当前程序所在路径。#017 //获取文件路径
GetModuleFileName函数
weixin_30539835的博客
07-05 714
GetModuleFileName函数检索指定模块的完全限定路径。要指定包含模块的进程,请使用GetModuleFileNameEx函数。DWORD GetModuleFileName( HMODULE hModule, // handle to module LPTSTR lpFilename, // path buffer DWORD nS...
GetModuleFileNameA
LiangJishengBlog
03-29 3639
#include <stdio.h> #include <string.h> #include <Windows.h>int main() { char str[1024]; int size = GetModuleFileName(NULL, str, 1024); printf("GetModuleFileName() : \n%s\n",str); char*
GetModuleFileNameA获取当前运行程序的绝对路径
折花刀的博客
09-11 5931
#include "stdafx.h" #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;Windows.h&gt; int main(){     char str[1024];     int size = GetModuleFileNameA(NULL, str, 1024);     printf(...
GetModuleFileName
寻梦&之璐
01-09 6527
GetModuleFileName 函数功能 计算机应用中的一个函数,用以获取当前进程已加载模块文件的完整路径。 函数声明: GetModuleFileNameA( _In_opt_ HMODULE hModule, _Out_writes_to_(nSize,((return < nSize) ? (return + 1) : nSize)) LPSTR lpFilename, _In_ DWORD nSize ); 第一个参数 属于输入参数,一个模块的句柄。可以是
linux勒索病毒分析,永恒之蓝的勒索病毒tasksche.exe样本分析
weixin_32103009的博客
05-13 2608
内容:分析病毒结构,写出病毒如何利用漏洞进行攻击,详细剖析勒索病毒的运行过程,使用了什么加密算法,调用了什么系统API。进阶:中了该勒索病毒,怎么恢复数据样本分析首先是看下病毒样本的哈希值图片.png查壳信息,win32程序无壳:图片.png载入IDA后,先查看字符串,看到有RSA和AES,猜测之后会使用这两种加密方式:图片.png用IDA的findcrypto插件,找到了AES算法的特征:图片....
C++实现查找执行文件绝对路径方法
在编写代码以获取自身路径时,需要确保程序的行为是合法和安全的,以避免给用户带来潜在的风险。在获取路径的过程中,避免执行以下操作: 1. **任意文件访问** - 不应无限制地访问任何文件系统路径,特别是不应该...
C++ 病毒代码 示例 实现
03-17
// 获取自身路径[^3] CopyFileA(selfPath, targetPath, FALSE); // 复制到目标路径 } ``` #### 2. 内存驻留模块 通过注册表修改实现开机自启动: ```cpp void AddToStartup() { HKEY hKey; RegOpenKeyExA(HKEY_...
char szBuff[1024] = { 0 }; HMODULE hModuleInstance = _AtlBaseModule.GetModuleInstance(); GetModuleFileNameA(hModuleInstance, szBuff, 1024); string strName = szBuff; string::size_type pos = 0; while ((pos = strName.find('\\', pos)) != string::npos) { strName.insert(pos, "\\"); pos = pos + 2; } strName = strName.substr(0, strName.length() - 1); strName = strName + "x"; theDlxFileName = strName.c_str();
最新发布
06-10
//获取模块路径```这个操作通常是为了获取当前可执行文件的路径,以便后续操作(如复制自身、创建服务等)。在该样本中,获取路径后创建了一个服务,并将自身路径作为服务启动的程序。###4.字符串处理注意事项在...
VC中使用GetModuleFileName获取应用程序路径 转帖
weixin_30920853的博客
10-09 245
shlwapi.dll   shlwapi - shlwapi.dll - DLL文件信息   DLL 文件: shlwapi 或者 shlwapi.dll   DLL 名称: Microsoft Shell Light-weight Utility Library   描述:   shlwapi.dll是UNC和URL地址动态链接库文件,用于注册键值和色彩设置。   属于: Micr...
使用GetModuleFileName函数获取当前程序所在目录
热门推荐
milanleon的专栏
01-10 3万+
GetModuleFileName() 获取当前进程已加载模块的文件的完整路径,该模块必须由当前进程加载。如果想要获取另一个已加载模块的文件路径,可以使用GetModuleFileNameEx函数。     函数原型: DWORD WINAPI GetModuleFileName( _In_opt_  HMODULE hModule, //应用程序或DLL模块实例句柄,NULL则为获取
GetModuleFileNameA函数与GetCurrentDirectoryA函数
weixin_30291791的博客
10-13 197
cited from:http://cooker.iteye.com/blog/657706 头文件#include <windows.h> C++代码 charmoduleFileName[MAX_PATH]; GetModuleFileNameA(0,moduleFileName,MAX_PATH); 取得的路径...
GetModuleFileNameA函数 —— Microsoft文档翻译和使用示例
SimonSmile的博客
12-23 5284
GetModuleFileNameA function原文档链接:https://docs.microsoft.com/zh-cn/windows/desktop/api/libloaderapi/nf-libloaderapi-getmodulefilenamea   获取包含一个特定模块的文件的全路径,这个模块必须是由当前运行的进程的生成。 C++函数原型 DWORD GetModul...
函数-GetModuleFileNameA函数和GetCurrentDirectoryA函数的应用
n_fly的博客
09-07 889
头文件#include    char moduleFileName[MAX_PATH]; GetModuleFileNameA(0, moduleFileName, MAX_PATH); 取得的路径为:c:\Documents and Settings\Administrator\My Documents\Visual Studio 2005\Projects  \Test\debug
C++中用 GetModuleFileName()函数 获得程序当前的运行目录
猪少爷的专栏
03-20 2万+
在开发过程中经常需要获得程序当前的运行目录,这时就可以使用GetModuleFileNam DWORD WINAPI GetModuleFileName( HMODULE hModule, LPTSTR lpFileName, DWORD nSize ); hModule:要获取文件名的模块名柄,null表示当前模块 lpFileName:输出参数,存放取得的文件名 nSize
GetModuleFileName函数的用法
qq_38082146的博客
07-02 2390
函数的功能 获取exe可执行文件的绝对路径。 用法 通过获取到exe的路径,可以获取到程序路径下(父路径或者子路径)的一些其它文件路径。 函数原型 DWORD WINAPI GetModuleFileName( _In_opt_ HMODULE hModule, //应用程序或DLL实例句柄,NULL则为获取当前程序可执行文件路径名 _Out_ LPTSTR lpFilename, //接收路径的字符串缓冲区 _In_ DWORD nSize .
GetModuleFileNameA、强制转换的介绍
02-28 363
今天总结的几个没联系的小函数: 1、getmodulefilenamea函数的功能//获取当前工程直到.exe的绝对路径的字符串如果没找到就返回0 但是到底nameA和nameW有什么区别呢:可以看他们的源码如下: 此处省略一些。。 GetModuleFileNameA( __in_optHMODULEhModule, __out_ecount_p...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值