本文主要是介绍cuckoo中的is32bit.exe程序逆向,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
调用该程序的代码位于分析机位置:C:\tmp2ow7jj\lib\api\process.py
具体是Process类中的is32bit( )函数。
逆向如下:
1、该程序使用说明:
2、根据传入的不同参数调用不同函数输出32或者64
3、函数sub_4016F4( )、sub_4017AB( )分析
sub_4016F4( ):
结合使用GetNativeSystemInfo( )、OpenProcess( pid)、IsWow64Process( )3个API判断是32位程序还是64位程序
sub_4017AB( ):
读取PE样本文件头中的Machine码是否等于0x8664(IMAGE_FILE_MACHINE_AMD64)
(读取可选头的魔数0x010B为32位程序,0x020B为64位程序,这样会不会更好?)
程序逆向过程over
这篇关于cuckoo中的is32bit.exe程序逆向的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
