cmd如何在内存中布局变量
cmd如何在内存中布局变量
提问于 2018-12-14 02:43:45
cmd如何在内存中为此声明布局变量?:
set foo=ASCIIchars bar=moreASCIIchars我正在尝试解开this kind of malware code的迷雾。我能够成功地读取大多数恶意代码,除了与变量之间的空格相对应的字符。
对于我工作的特殊情况,对于前两个变量,它像ASCIIchars???moreASCIIchars一样布置内存在这种情况下,每个?都是一个未知字符,我假设它是填充以完成一个4字节字。
我想知道填充是随机的还是专门指定的,可能与第二个变量名有关,但不确定。
回答 1
Stack Overflow用户
发布于 2018-12-14 03:52:33
事实证明,在这种特殊情况下,混淆脚本也试图使用空格和等号,不确定原因和方式,但我假设这与在使用&&添加另一个命令之前以斜杠/结尾的事实有关
因此,对于:
set foo=ASCIIchars bar=moreASCIIchars/&&foo的内存完全按照ascii:ASCIIchars bar=moreASCIIchars/中的说明进行布局,这可能与cmd解析引号的方式有关,您可以找到malware structure here,很高兴地宣布我消除了恶意软件的混淆,该恶意软件打算使用powershell下载文件。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/53768256
复制相关文章
相似问题