用户层下API的逆向分析及重构

最新推荐文章于 2025-03-18 17:27:01 发布
最新推荐文章于 2025-03-18 17:27:01 发布
阅读量1k 收藏 6
点赞数 2
文章标签: 重构 c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hongduilanjun/article/details/123411421
版权
本文详细介绍了如何对Windows API进行逆向分析,以ReadProcessMemory为例,通过od和ida工具跟踪其在Ring3层的调用过程。通过分析,实现了在用户层直接调用内核函数,绕过API钩子的技术,涉及到系统调用、Ring0权限切换等概念。同时探讨了_KUSER_SHARED_DATA结构在用户层和内核层的角色,以及如何判断系统是否支持sysenter指令进入Ring0。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用ollydbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现。

测试

od

我们首先在od里面跟一下在ring3层ReadProcessMemory的调用过程

首先在 exe 中 调用 kernel32.ReadProcessMemory函数,我们可以看到这一部分主要是call dword ptr ds:[<&KERNEL32.ReadProcessMemory>]; kernel32.ReadProcessMemory这一行代码比较关键,调用了kernel32.ReadProcessMemory,继续往里面跟

  01314E3E  8BF4     		mov esi,esp
  01314E40  6A 00    		push 0x0
  01314E42  6A 04    		push 0x4
  01314E44  8D45 DC   		lea eax,dword ptr ss:[ebp-0x24]
  01314E47  50      		push eax
  01314E48  8B4D C4   		mov ecx,dword ptr ss:[ebp-0x3C]
  01314E4B  8D548D E8  		lea edx,dword ptr ss:[ebp+ecx*4-0x18]
  01314E4F  52      		push edx
  01314E50  6A FF    		push -0x1
  01314E52  FF15 64B0310	call dword ptr ds:[<&KERNEL32.ReadProcessMemory>]; kernel32.ReadProcessMemory
  01314E58  3BF4     		cmp esi,esp

ReadProcessMemory函数 中调用 jmp.&API-MS-Win-Core-Memory-L1-1-0.ReadProcessMemory> 函数,在kenel32.dll中,mov edi,edi 是用于热补丁技术所保留的,这段代码仔细看其实除了jmp什么也没干,继续跟jmp

7622C1CE  8BFF       	   mov edi,edi
7622C1D0  55        	   push ebp
7622C1D1  8BEC       	   mov ebp,esp
7622C1D3  5D        	   pop ebp                              
7622C1D4  E9 F45EFCFF      jmp <jmp.&API-MS-Win-Core-Memory-L1-1-0.ReadProcessMemory>

API-MS-Win-Core-Memory-L1-1-0.ReadProcessMemo 中调用 KernelBase.ReadProcessMemory 函数,这里的调用链就是从kernel32.dll到了kernelBase.dll

761F20CD  FF25 0C191F7 		
    jmp dword ptr ds:[<&API-MS-Win-Core-Memory-L1-1-0.ReadProcessMemory>; KernelBase.ReadProcessMemory

KernelBase.ReadProcessMemory中 调用 <&ntdll.NtReadVirtualMemory> 函数,将ReadProcessMemory中传入的参数再次入栈,调用ntdll.ZwReadVirtualMemory函数,再往里面走

  75DA9A0A  8BFF     	mov edi,edi
  75DA9A0C  55      	push ebp
  75DA9A0D  8BEC     	mov ebp,esp
  75DA9A0F  8D45 14   	lea eax,dword ptr ss:[ebp+0x14]
  75DA9A12  50      	push eax
  75DA9A13  FF75 14   	push dword ptr ss:[ebp+0x14]
  75DA9A16  FF75 10   	push dword ptr ss:[ebp+0x10]
  75DA9A19  FF75 0C   	push dword ptr ss:[ebp+0xC]
  75DA9A1C  FF75 08   	push dword ptr ss:[ebp+0x8]
  75DA9A1F  FF15 C411DA7
      call dword ptr ds:[<&ntdll.NtReadVirtualMemory>] ; ntdll.ZwReadVirtualMemory

<&ntdll.NtReadVirtualMemory> 中调用 ntdll.KiFastSystemCall 函数,这里往eax里存放了一个编号,对应在内核中ReadProcessMemory的实现,在 0x7FFE0300处存放了一个函数指针,该函数指针决定了以什么方式进入0环(中断/快速调用)

  77A162F8  B8 15010000
最低0.47元/天 解锁文章
红队蓝军
关注
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6474
系统安全系列作者将深入研究恶意样本分析逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6762
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
一次最简单的API编程与其逆向
1CHIG0的博客
03-07 1857
笔者是API逆向的小白,本来通过知乎找到了一份教程http://www.winprog.org/tutorial/start.html学到一半感觉还是一知半解,而且没什么成就感。于是去向大佬求教,完成了这样的一套操作。思路是完成一个从目标文本文件中读取一串字符与目标字符串进行比较的程序,并将这个程序进行逆向。首先是程序的代码#include "windows.h" #include&lt;io...
加密与解密(逆向常用API
細水、長流√的专栏
04-13 3684
原地址戳我。 转自鱼C工作室。     在逆向中,我们常常需要从一些关键的API函数入手,大部分新手对此望而生畏!       小甲鱼在这里给大家整理出逆向中需要掌握和注意的API函数及其用法,希望大家喜欢^_^ DialogBoxes类型常用APIs(通常在注册界面获取) DialogBoxParamA GetDlgItem GetDlgItemInt
浅析封装NT函数绕过检测机制与免杀技术
最新发布
moonlightsunshin的博客
03-18 949
NT函数(即“Native”函数)是微软Windows操作系统内部提供的一组底系统调用,这些函数位于NT,也称为Windows NT内核。这些函数直接与操作系统的内核交互,提供了底的操作功能,比如内存管理、线程管理、进程创建等。与之相对的是Windows API,后者是为用户应用程序提供的更高级接口。NT函数的调用通常直接通过ntdll.dll库中的相关函数来实现。
逆向工程核心原理:API钩取】
qq_42363151的博客
04-04 766
运用在windows10 32bit Debug/Release。64bit参数结构、寄存器名字不同,需要修改才能使用。
逆向API接口加解密技术解析归纳
qq_27109535的博客
08-04 1497
对称加密是一种使用单个密钥进行加密和解密的加密方法。常用的对称加密算法包括AES(高级加密标准)。对称加密的优点是加密速度快、计算量小,适用于大量数据的加密传输。然而,密钥的安全传输是一个关键问题,因为双方必须共享同一个密钥。
逆向分析中常见的api函数
zbl116的博客
11-18 2855
1 comctl32.dll:Windows应用程序公用GUI图形用户界面模块。 2  imm32.dll:电脑的系统文件,与输入法密切相关。 3  SetDispositionInformationFile:设置部署信息文件 4  LockFile:可以锁定文件的一部分, 锁成功返回非0,他只能锁定一个打开的文件,给予锁定者以独占的模式。禁止其他线程访问。UnlockFile()解锁,类似
suning易购商城app api_sign参数逆向解析 最新现可用_x_req_block_加密 解密sign等参数
06-08
总结来说,要逆向解析苏宁易购商城App的`api_sign`参数,我们需要深入了解JS逆向工程,包括理解加密和混淆机制,分析可能的加密函数,以及利用Node.js进行解密操作。通过对`dfp.js`、`bd.js`、`index.js`和`MyProxy....
[系统安全] 二.如何学好逆向分析及吕布传游戏逆向案例
杨秀璋的专栏
12-13 9712
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。 系统安全系列作者将深入研究恶意样本分析逆向分析、攻防实战等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文作者先带领大家学习什么是逆向分析,这篇文章将继续普及逆向分析基础知识,告诉大家如何学好逆向分析,并结合作者经验给出逆向分析的路线推荐,最后给出吕布
逆向工程核心原理》学习笔记(四):API钩取
闵行小鱼塘
05-20 3438
继续学习《逆向工程核心原理》,本篇笔记是第四部分:API钩取,主要介绍了调试钩取、DLL注入实现IAT钩取、API代码修改钩取和全局API钩取等内容
逆向用的API全集.txt
09-17
常见的简单介绍软件逆向常见API要用到的
SAPhIRE:简单的API逆向工程助手
02-05
SAP H IRE 小号imple APIřEVERSEËngineeringħelper 基本原理 SAP h IRE是一种工具,可协助对野外常见的任意API流进行逆向工程。 诸如身份验证协议之类的流通常是专有的,未记录的并且填充有缩小的JS,使它们完全被混淆。 它隔离“令牌” 饼干 标头 网址参数 HTML输入标签 请求中的表单字段 响应中的JSON ...并突出显示它们以使基本逻辑显而易见。 屏幕截图 卖点 识别类型时自动对令牌进行解码,以省去繁琐而繁琐的工作,以便在每次出现时手动完成。 智能解码器支持的类型: URL编码(额外:完全支持Unicode ) Base64编码
软件逆向、破解常用API函数大全.chm
06-11
软件逆向、破解常用API函数大全,介绍软件安全,逆向常用API函数。
【JS逆向+Python模拟API请求】逆向某一个略微中等的混淆网站,并模拟调用api请求 仅供学习。注:不是源代码混淆,而是一个做代码混淆业务的网站,
₰₯₮ 的博客
02-16 2323
逆向日期:2024.02.16使用工具:Node.js加密方法:RSA标准库文章全程已做去敏处理!!!【需要做的可联系我】
网络爬虫-苏宁易购api_sign参数逆向解析
qq_39802740的博客
07-12 1274
失踪人口回归~~~ 今天给大家带来的是一个简单的js加密分析,废话不多说,先上目标站 [定向传送门](https://detail.vip.com/detail-1710615076-6919201301694309444.html 我们的目标就是采集到这个累计热卖xxx件。 右键查看源码可以发现并没有藏在静态的HTML中,可以分析出是通过XHR传递到页面上的,所以接下来我们进行抓包操作。 可以很轻松地找到这个接口,发现返回的数据里面有我们需要的,然后开始分析这个接口里面的参数,很明显我们发现了api_s
破解API加密逆向接口分析,看这篇就够了
网络爬虫开发
10-27 1746
现在我们利用浏览器的监听对请求的接口进行断点,当加载到这个接口的时候,如果出现了断点调试的页面,并且我们需要的数据在页面上并没有出现,如下图,说明我们的猜想已经对了一半。那么由上图我确认了该接口的请求并没有返回我们需要的数据,那么我需要的数据又在哪里呢,猜测是异步加载的,因此我们再分析获取到的请求,看看有没有可能是我们需要的数据?这个是我们获取到的请的api,我们接着分析该请求返回了什么?这是的第二个接口返回的数据,但是返回的数据是一串字符串,看上去也不像我们的需要的数据,这就很奇怪了,数据去哪里了呢?
采用抓包的方式逆向获得谷歌翻译的API
u014723479的博客
12-26 3946
采用抓包的方式逆向获得谷歌翻译的API
metaso-free-api: 秘塔AI搜索的开源逆向API实现
2401_87458718的博客
10-23 3149
metaso-free-api开发者和研究人员提供了一个便捷的工具,可以轻松接入秘塔AI的强大搜索能力。是一个由LLM-Red-Team开发的开源项目,旨在提供秘塔AI搜索的逆向API实现。metaso-free-api提供了三种不同的搜索模式,分别是简洁模式、深入模式和研究模式。文章链接:www.dongaigc.com/a/metaso-free-api-open-source-ai。Docker-compose部署:项目提供了docker-compose.yml文件,可以快速启动服务。
Windows下Visual C++源码逆向工程分析
了解Windows编程需要掌握Windows API的使用,掌握消息驱动机制,理解Windows的GUI(图形用户界面)组件,以及熟悉Windows环境下的数据结构和算法。 2. Visual C++开发环境: Visual C++是微软公司推出的一款集成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值