CreateMutex
까보면 다나와~

64비트인지 아닌지 확인하기x2
2012. 11. 5. 18:12,  유용한 지식 자료들/악성코드 기법




Private Const PROCESSOR_ARCHITECTURE_INTEL = 0
Private Const PROCESSOR_ARCHITECTURE_IA64 = 6
Private Const PROCESSOR_ARCHITECTURE_AMD64 = 9
Private Const PROCESSOR_ARCHITECTURE_UNKNOWN = &HFFFF


GetCurrentProcess -> IsWow64Process


return cmp 0 

0 이면 64bit아님


or


GetNativeSystemInfo

위의 그램을 보면 파라메터로 들어가는 push eax값이 lpSystemInfo로 해당 주소값에 ProcessorArchitecture 결과값이 저장된다. 따라서 cmp ax, 9와 같이 해당 주소의 값을 찾아와서 비교를 하면 64bit 여부를 알아낼 수 있다.

return cmp 9, 6 이면 64bit

0 이면 32bit




저작자표시 비영리 변경금지

'유용한 지식 자료들 > 악성코드 기법' 카테고리의 다른 글

후킹(자가보호) 해제  (0) 2012.12.27
악성코드 'PlugX Dropper'의 설치 방식  (0) 2012.11.14
hosts파일 변조 악성코드의 배짱(?)  (0) 2012.08.22
User-mode Inline Patch를 위한 함수 주소 찾는 방법  (0) 2012.08.20
ntdll.bsearch  (2) 2012.08.01
  Comments,     Trackbacks
카테고리
최근 작성 글
최근 작성 댓글
최근 작성 트랙백
공지사항
링크
글 보관함
캘린더
«   2024/11   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
태그
SYSTEM_INFORMATION_CLASSIDARDTkoobfaceSystemInformationClassprintSepsvspherewinurl.datCVE-2010-3962Remote Desktop Packetversion.datwintmp.dat북위례NtMapViewOfSectioninvalid flag reference예치금MS WBT SERVERida.cfgxrefMUICacheiocontrolcodebreadkpointWinDbg33ddossetupball.bmpdispatchahnurl.syshtml colorida cfg77ddos
TODAY TOTAL
아리스리's Blog : Powered by and Designed by Lawlite

티스토리툴바