PeDoll开源及使用教程

最新推荐文章于 2024-05-12 10:09:13 发布
原创 最新推荐文章于 2024-05-12 10:09:13 发布 · 2.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#反病毒

i春秋作家:immenma

1.什么是PEDoll

PeDoll是一款基于inline Hook的程序行为分析软件,主要包括以下功能

1.对关键API调用进行Hook生成报表,监视程序行为

2.运行时修改程序执行代码

3.程序的网络抓包,写入数据的Dump

4.软件实现的自旋锁断点,方便与OllyDbg联合调试

5.分析目标程序的内存,分析栈数据实现破解.

2.PeDoll的组成原理

PeDoll 主要面向逆向分析初学者或者是具有一定编程逆向基础的Cracker,旨在简化逆向分析工作,可以在一定程度上对一些具有反逆向功能的恶意程序(加壳,加花,反调试器)简化分析难度或实现自动化分析

PeDoll是基于简单脚本(命令)控制的行为分析软件,通过对不同的程序编写不同的脚本实现特定的分析,同时PeDoll是一款远程分析调试器,这也意味着在对恶意程序分析中控制端和调试端分开进行是被建议的

其运行原理如下所示

image.pngimage.png

1.常用脚本,包括一系列已经编写好的常用脚本,包括一些常用的对MBR勒索病毒,用户锁勒索病毒,易语言

最低0.47元/天 解锁文章
张悠悠66
关注
最新Anaconda3的安装配置及使用教程(详细过程)
HowieXue 薛永浩的博客
07-03 33万+
最新Anaconda3安装使用Anaconda下载方式一:官网下载方式二:清华镜像下载(推荐)Anaconda安装 Anaconda是一个开源的Python发行版本,其包含了conda、Python等180多个科学包及其依赖项 Anaconda + Jupyter 基本上已经是大部分机器学习/数据分析等开发者标配的开发环境, 不多介绍,直接进去正题: Anaconda下载 方式一:官网下载 下载地址传送门: 官网首页:https://www.anaconda.com/ 官网下载页:https://www
winform第三方界面开源库AntdUI的使用教程保姆级环境设置篇
最新发布
Zy100Papa的博客
01-10 1万+
AntdUI是一个开源的Winfrom第三方库,它可以使你的Winform窗体程序更加美观。项目地址:https://gitee.com/antdui/AntdUI框架选择.net6编译器要求 Visual Studio 2022 以及以上Visual Studio 安装 旧版本(.NET Framework 4.0 和 4.5)右键解决方案,添加现有项目,将AntdUI.csproj工程添加到当前解决方案中。现在两个工程都在同一解决方案下,但是MyChat(winform)还是无法引用到AntdUI程序集
黑莓开源逆向工程 PE 工具——PE Tree
一起来捉 Bug 呀~~
08-05 2151
近日,在 Black Hat USA 2020 安全大会上,黑莓公司开源了其逆向工程 PE 文件的工具 PE Tree。这是一款基于 Python 的应用程序,适用于 Linux、Mac、Windows 系统,可用于逆向工程和分析 Portable Executable(PE)文件的内部结构。 所谓 PE 文件,意为可移植的可执行的文件,常被黑客用来隐藏恶意负载的常见文件类型。 目前,该源代码采用 Apache License 2.0 许可证,发布在 GitHub:https://github.com/
调戏木马病毒的正确姿势-基础篇
wodafa的博客
03-01 5810
目录 ----------------------理论基础篇-------------------    从科幻小说说起:         危险的潘多拉盒子         来说说应用程序编程接口         工欲善其事必先利其器         (*)正确地作死         (*)被劫持的应用程序接口         (***)Hook与QQ密码的战争        
系统封装 如何修改别人的PE为己所用
weixin_33716557的博客
03-19 1593
我们以修改"我心如水 WIN7PE_16.99.1 维护版.ISO"为例,整个ISO的核心文件就是这个BOOT.WIM,我们先把他提取出来。 然后用在本教程第一章学到的东西,用AIK工具解压得到下面的东西。 然后我们进入Windows目录,打开PECMD.INI文件,进行修改。  //配置文件开始 //定义分辨率为104×768 32位色彩 DISP W102...
调戏木马病毒的正确姿势——下
dfdhxb995397的博客
08-01 1415
第一章:使用PEDoll调戏cmd调用类型的锁机程序 在讨论这个锁机程序之前,我们先来讨论一下如果我们想要改动我们电脑的账户和密码,应该怎么办当然在控制面板上的创建用户密码,可以非常容易而且非常人性化的完成这一过程 当然这不是唯一的办法,还有一种比较高逼格的办法是使用cmd命令行来完成 ...
精选资源
开源H5盲盒商城源码系统4.0-vue+TP5php框架开发开源网站+安装教程
01-14
vue+tp5框架编写,H5网页,前后端分离,开源无加密无授权,可以二开使用。 含充值3级分销,盲盒回收成余/额功能/晒图/盲盒转增功能。 带微信无限回调登录、易支付码支付通用聚合接口、短信宝短信、阿里云oss
开源大模型食用指南》是基于Linux环境快速部署开源大模型的教程
09-19
本项目是一个围绕开源大模型、针对国内初学者、基于 AutoDL 平台的中国宝宝专属大模型教程,针对各类开源大模型提供包括环境配置、本地部署、高效微调等技能在内的全流程指导,简化开源大模型的部署、使用和应用流程...
Alibaba开源的Java诊断工具使用教程
11-21
Alibaba开源的Java诊断工具使用教程,支持JDK 6+,支持Linux/Mac/Windows,采用命令行交互模式,同时提供丰富的 Tab 自动补全功能,进一步方便进行问题的定位和诊断。
vc++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝_chorus和hook区别
12-26
利用API Hook截获CreateFile和CloseHandle达到加解密DOC文件和防拷贝的目的 visual c++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝
HOOK原理详解
10-26
对大多数的Windows开发者来说,如何在Win32系统中对API函数的调用进行拦截一直是项极富挑战性的课题,因为这将是对你所掌握的计算机知识较为全面的考验,尤其是一些在如今使用RAD进行软件开发时并不常用的知识,这包括了操作系统原理、汇编语言甚至是机器指令(听上去真是有点恐怖,不过这是事实)。 当前广泛使用的Windows操作系统中,像Win 9x和Win NT/2K,都提供了一种比较稳健的机制来使得各个进程的内存地址空间之间是相互独立,也就是说一个进程中的某个有效的内存地址对另一个进程来说是无意义的,这种内存保护措施大大增加了系统的稳定性。不过,这也使得进行系统级的API拦截的工作的难度也大大加大了。 当然,我这里所指的是比较文雅的拦截方式,通过修改可执行文件在内存中的映像中有关代码,实现对API调用的动态拦截;而不是采用比较暴力的方式,直接对可执行文件的磁盘存储中机器代码进行改写。
EasyHook 函数钩子 最好的完整稳定的钩子Demo程序(VS2010 C++ 版本)
01-19
目前最好的EasyHook的完整Demo程序,包括了Hook.dll动态库和Inject.exe注入程序。 Hook.dll动态库封装了一套稳定的下钩子的机制,以后对函数下钩子,只需要填下数组表格就能实现了,极大的方便了今后的使用。 Inject.exe部分是用MFC写的界面程序,只需要在界面上输入进程ID就能正确的HOOK上相应的进程,操作起来非常的简便。 这个Demo的代码风格也非常的好,用VS2010成功稳定编译通过,非常值得下载使用。 部分代码片段摘录如下: //【Inject.exe注入程序的代码片段】 void CInjectHelperDlg::OnBnClickedButtonInjectDllProcessId() { ////////////////////////////////////////////////////////////////////////// //【得到进程ID值】 UINT nProcessID = 0; if (!GetProcessID(nProcessID)) { TRACE(_T("%s GetProcessID 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【得到DLL完整路径】 CString strPathDLL; if (!GetDllFilePath(strPathDLL)) { TRACE(_T("%s GetDllFilePath 失败"), __FUNCTION__); return; } ////////////////////////////////////////////////////////////////////////// //【注入DLL】 NTSTATUS ntStatus = RhInjectLibrary(nProcessID, 0, EASYHOOK_INJECT_DEFAULT, strPathDLL.GetBuffer(0), NULL, NULL, 0); if (!ShowStatusInfo(ntStatus)) { TRACE(_T("%s ShowStatusInfo 失败"), __FUNCTION__); return; } } //【Hook.dll动态库的代码片段】 extern "C" __declspec(dllexport) void __stdcall NativeInjectionEntryPoint(REMOTE_ENTRY_INFO* InRemoteInfo) { if (!DylibMain()) { TRACE(_T("%s DylibMain 失败"), __FUNCTION__); return; } } FUNCTIONOLDNEW_FRMOSYMBOL array_stFUNCTIONOLDNEW_FRMOSYMBOL[]= { {_T("kernel32"), "CreateFileW", (void*)CreateFileW_new}, {_T("kernel32"), "CreateFileA", (void*)CreateFileA_new}, {_T("kernel32"), "ReadFile", (void*)ReadFile_new} }; BOOL HookFunctionArrayBySymbol() { /////////////////////////////////////////////////////////////// int nPos = 0; do { /////////////////////////////// FUNCTIONOLDNEW_FRMOSYMBOL* stFunctionOldNew = &g_stFUNCTIONOLDNEW_FRMOSYMBOL[nPos]; if (NULL == stFunctionOldNew->strModulePath) { break; } /////////////////////////////// if (!HookFunctionBySymbol(stFunctionOldNew->strModulePath, stFunctionOldNew->strNameFunction, stFunctionOldNew->pFunction_New)) { TRACE(_T("%s HookFunctionBySymbol 失败"), __FUNCTION__); return FALSE; } } while(++nPos); /////////////////////////////////////////////////////////////// return TRUE; } HANDLE WINAPI CreateFileW_new( PWCHAR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ) { TRACE(_T("CreateFileW_new. lpFileName = %s"), lpFileName); return CreateFileW( lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile); }
调戏木马病毒的正确姿势
chengman3837的博客
12-22 601
作者:immenma 来源:i春秋社区 第一章:使用PEDoll调戏cmd调用类型的锁机程序 在讨论这个锁机程序之前,我们先来讨论一下如果我们想要改动我们电脑的账户和密码,应该怎么办 当然在控制面板上的创建用户密码,可以非常容易而且非常人性化的完成这一过程 当然这不是唯一的办法,还有...
从虚拟机架构到编译器实现导引【一本书的长度】
xiaoi123的博客
09-26 502
i春秋作家:immenma 原文来自:从虚拟机架构到编译器实现导引【一本书的长度】 在说些什么实现的东西之前,笔者仍然想话唠唠叨下虚拟机这个话题,一是给一些在这方面不甚熟悉的读者简单介绍下虚拟机的作用和包治百病的功效,二来是题头好好吹一吹牛,有助于提升笔者在读者心中的逼格,这样在文中犯错的时候,不至于一下就让自己高大上的形象瞬间崩塌。 是的,当前虚拟化技术已经在计算机及互联网中烈火燎原了,从...
Hook API 原理 解析
weixin_33836223的博客
05-23 510
1 什么是Hook API 简单的说,一个应用程序要调用一个API函数,例如CreateFileW,那么应用程序必须要知道函数的地址,才能调用它,我对Hook API的理解是,把这个函数地址替换为另一个函数MyCreateFileW的地址,那么每当程序调用CreateFileW时,就会调用MyCreateFileW 2 Hook API有什么用 在《Rootkits——W...
PE系统推荐
春枫
05-12 9181
在我们装机的过程中,有时会遇到一些问题,比如系统无法启动、安装系统等等。PE工具,全称为(Preinstallation Environment),是一种独立于操作系统的轻量级环境,可以在计算机启动时加载,并提供一些常用的工具和功能。首先,我要向大家推荐一款强大的PE工具——Ventoy。Ventoy是一款开源的PE工具,可以将多个PE系统镜像制作成一个U盘启动盘,非常方便实用。接下来,我将为大家详细介绍Ventoy的使用方法。文章内提到的pe系统全经过站在实际测试。目前只收集 截图参考。
wangEditor全屏及源码展示插件使用教程
该插件是开源的,允许开发者在自己的项目中使用和定制。它依赖于jquery库,因此在使用前需要引入jquery。使用该插件时,需要将wangEditor-plugin.css和wangEditor-plugin.js文件包含到项目中。wangEditor-plugin提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值