cuckoo中的is32bit.exe程序逆向
调用该程序的代码位于分析机位置:C:\tmp2ow7jj\lib\api\process.py
具体是Process类中的is32bit( )函数。
逆向如下:
1、该程序使用说明:
2、根据传入的不同参数调用不同函数输出32或者64
3、函数sub_4016F4( )、sub_4017AB( )分析
sub_4016F4( ):
结合使用GetNativeSystemInfo( )、OpenProcess( pid)、IsWow64Process( )3个API判断是32位程序还是64位程序
sub_4017AB( ):
读取PE样本文件头中的Machine码是否等于0x8664(IMAGE_FILE_MACHINE_AMD64)
(读取可选头的魔数0x010B为32位程序,0x020B为64位程序,这样会不会更好?)
程序逆向过程over