什么是Guloader

本篇内容主要讲解“什么是Guloader”，感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷，实用性强。下面就让小编来带大家学习“什么是Guloader”吧!

目前创新互联公司已为近1000家的企业提供了网站建设、域名、虚拟空间、网站托管、服务器租用、企业网站设计、宜昌网站维护等服务，公司将坚持客户导向、应用为本的策略，正道将秉承"和谐、参与、激情"的文化，与客户和合作伙伴齐心协力一起成长，共同发展。

1.直接使用DIE对程序进行探测 发现是Microsoft Visual Basic 6.0 写的加载器

2.使用ProcessMom进行对程序探测 就发现查询了一次注册表 并发现是在虚拟机里面运行 就结束自身进程

证实里面有检测虚拟机代码。

使用API Trace工具 进行API Trace

发现使用VirtualAlloc分配了内存空间 并将执行流 执行到新分配的内存空间 执行ShellCodo代码
3.使用x64dbg 对VirtualAlloc进行下断点

分析里面的调用参数得之 分配的内存大小是0x9000
内存属性是PAGE_EXECUTE_READWRITE 读写执行

然后根据VirtualAlloc返回的内存地址 下硬件可执行断点 F9运行 确实到达了VirtualAlloc申请的内存空间
根据堆栈回溯 定位到用户调用ShellCode代码的地方

4.现在可以根据VirtualAlloc的返回参数 将ShellCode dump下来 然后使用IDA静态分析

Guloader ShellCode就提取出来了

到此，相信大家对“什么是Guloader”有了更深的了解，不妨来实际操作一番吧！这里是创新互联网站，更多相关内容可以进入相关频道进行查询，关注我们，继续学习！