该函数创建一个与指定设备兼容的内存设备上下文环境(DC) 。
CreateCompatibleBitmap
该函数创建与指定的设备环境相关的设备兼容的位图 。
SelectObject
该函数选择一对象到指定的设备上下文环境中,该新对象替换先前的相同类型的对象 。
GetObjectA
t函数得泛指得到对象,到指定图形对象的信息,根据图形对象,函数把填满的或结构,或表项(用于逻辑调色板)数目放入一个指定的缓冲区 。
GlobalAlloc
该函数从堆中分配一定数目的字节数 。Win32内存管理器并不提供相互分开的局部和全局堆 。提供这个函数只是为了与16位的Windows相兼容 。简称全局堆分配
GlobalLock
锁定内存中指定的内存块,并返回一个地址值,令其指向内存块的起始处 。
GlobalUnlock
函数解除锁定的内存块,使指向该内存块的指针无效,GlobalLock锁定的内存,一定要用GlobalUnlock解锁 。
GlobalFree
释放指定的全局内存块
ReleaseDC
函数释放设备上下文环境(DC)供其他应用程序使用 。函数的效果与设备上下文环境类型有关 。它只释放公用的和设备上下文环境,对于类或私有的则无效 。
DeleteDC
函数删除指定的设备上下文环境(Dc) 。
DeleteObject
该函数删除一个逻辑笔、画笔、字体、位图、区域或者调色板,释放所有与该对象有关的系统资源,在对象被删除之后,指定的句柄也就失效了 。
先获得操作系统的时间,作为文件名
文章插图
然后截图
文章插图
之后进入一个加密函数
文章插图
文章插图
最后写入文件
文章插图
那么怎么看到这个截图呢,一种方法是在加密前直接返回 。
还有一种是将加密后的图片内容取出来,放到加密的参数,这里是先假设自定义加密是可逆的进行尝试 。按住第一个字节,shift往下脱,在最后一个字节上面按一下 。
文章插图
文章插图
Lab13-3
放入PEid,无壳,并且可以看到有加密字段 。
文章插图
放入IDA中查看,这里通过插件可以看到先是调用了AES相关的函数
文章插图
接着启用了socket初始化,与服务器通信
文章插图
然后这里创建了两个管道
文章插图
之后创建了cmd的进程 。
推荐阅读
- 后端踩坑笔记:记一次基于swoole开发的程序丢任务排查修复过程
- 苍兰诀|2022黑马剧汇总,《开端》王炸,《苍兰诀》暴走,爱奇艺成大赢家
- 源代码的结局是什么意思 源代码的结局
- 防火墙 CentOS 7 firewall开放端口/删除端口/查看端口
- windows下如何查看某个端口占用
- 后端程序员的 VUE 超简单入门笔记
- 原理及代码实现 Redis分布式锁最全详解
- 谷歌在Gmail中引入端到端加密
- 爆火出圈的chatGPT如何在逆向和恶意软件分析中发挥作用
- 端午节趣味活动有哪些