اصولا فرمت خروجي جعبه شن پارسا سازگار با زبان C++ و کاملا منطبق با طريقه فراخواني اين توابع ميباشد. به عبارتي ميتوان گفت اين جعبه شن قادر به نمايش کد سطح بالاي برنامه تحت تحليل ميباشد. در زير توابعي که در خروجي بخش تزريق کتابخانه نمايش داده ميشود، به همراه معنا و پارامترهاي آن ارائه شده است. خواندن اين بخش براي کساني که آشنايي کافي با برنامهنويسي Visual C++ (Win32) ندارند، الزامي است.
//PID=8244,TID=5064,Time=103015935894
NtSetSystemInformation (SystemBasicInformation, pSystem, 12);
به عنوان مثال خروجي زير نشان ميدهد که برنامه تحت تحليل يک درخواست به هسته سيستم عامل ويندوز ارسال داشته است.
//PID=4020,TID=3300,Time=103909123251
NtRequestWaitReplyPort(PortHandle,Request,IncomingReply); //Request->DataLength=72 ,Request->Length=112 ,Request->MessageType=0 ,Request->DataInfoOffset=0 ,Request->hProcess=0 ,Request->hThead=0 ,Request->MessageId=0 ,Request->CallbackId=0
براي کسب اطلاعات راجع به Local Procedure Calls يا به طور خلاصه LPC، مراجعه کنيد به:
//PID=4776,TID=4380,Time=104833344892
ExitWindowsEx(EWX_REBOOT,SHTDN_REASON_MINOR_MMC);
نکتهاي که در اينجا وجود دارد اين است که با استفاده از قابليت محدودسازي توابع خطرناک ميتوان از ريست شدن، يا خاموش شدن سيستم در هنگام فراخواني تابع بالا جلوگيري کرد. جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa376868%28v=vs.85%29.aspx
به عنوان نمونه، خروجي زير نشان ميدهد که برنامه تحت تحليل قصد خاموش کردن سيستم را داشته است.
//PID=9200,TID=6920,Time=107934251804
InitiateShutdownW(0x1436620, L"", 0, SHUTDOWN_FORCE_OTHERS, SHTDN_REASON_MAJOR_OTHER | SHTDN_REASON_MINOR_OTHER);
اطلاعات بيشتر راجع به اين تابع در لينک زير موجود است:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa376872%28v=vs.85%29.aspx
//PID=2064,TID=5576,Time=108297372814
LockWorkStation();
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa376875%28v=vs.85%29.aspx
//PID=5060,TID=8924,Time=108843320308
CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,5060);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms682489%28v=vs.85%29.aspx
//PID=7488,TID=8460,Time=109227994277
AdjustTokenPrivileges(hToken,FALSE,NewState,0,PreviousState,0); //SeShutdownPrivilege SeAuditPrivilege
اطلاعات بيشتر راجع به اين تابع در لينک زير موجود است:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa375202%28v=vs.85%29.aspx
//PID=5984,TID=4904,Time=110895871659
OpenSCManagerA(NULL,NULL,SC_MANAGER_ALL_ACCESS);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms684323%28v=vs.85%29.aspx
//PID=5984,TID=4904,Time=111239137142
CreateServiceA(1589272, "MyDriver1", "MyDriver1", SERVICE_ALL_ACCESS, SERVICE_KERNEL_DRIVER, SERVICE_DEMAND_START, SERVICE_ERROR_NORMAL, "C:\MyDriver1.sys", "", lpdwTagId, NULL, NULL, NULL);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms682450%28v=vs.85%29.aspx
//PID=5984,TID=4904,Time=111243181787
DeleteService(55561664);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms682562%28v=vs.85%29.aspx
//PID=5984,TID=4904,Time=111871500952
StartServiceA(55561384,0,NULL);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms686321%28v=vs.85%29.aspx
//PID=5984,TID=4904,Time=111874656139
OpenServiceA(1589272,"MyDriver1",SERVICE_ALL_ACCESS); //RetValue=55561344
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms684330%28v=vs.85%29.aspx
//PID=5984,TID=4904,Time=111874656369
ControlService(55561344,SERVICE_CONTROL_STOP,lpServiceStatus);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms682110%28v=vs.85%29.aspx
//PID=5984,TID=4904,Time=111874711739
CloseServiceHandle(848620);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms682028%28v=vs.85%29.aspx
//PID=9472,TID=4836,Time=115111335127
CreateWindowEx(WS_EX_TOOLWINDOW,L"ComboBox",NULL,WS_BORDER | WS_CHILD | WS_CLIPSIBLINGS | WS_VISIBLE | WS_VSCROLL,0,24,293,116,0x31086a,0x3e8,0x1000000,0);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms632680%28v=vs.85%29.aspx
//PID=8308,TID=1372,Time=115698525333
SendInput(1,pInputs,28);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms646310%28v=vs.85%29.aspx
//PID=10008,TID=4900,Time=116240646476
BlockInput(TRUE);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms646290%28v=vs.85%29.aspx
//PID=6168,TID=10928,Time=121006727166
SetWindowsHookEx(WH_KEYBOARD, lpfn, hMod, dwThreadId); //lpfn=252841989 ,hMod=252772352 ,dwThreadId=0
اطلاعات بيشتر راجع به اين تابع در لينک زير موجود است:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms644990%28v=vs.85%29.aspx
//PID=6784,TID=6476,Time=540199086
SetWinEventHook(EVENT_OBJECT_DESTROY, EVENT_OBJECT_DESTROY, hModule, lpfnWinEventProc, idProcess, idThread, WINEVENT_OUTOFCONTEXT | WINEVENT_INCONTEXT); //hModule=1938161664 ,idProcess=6784 ,idThread=0
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/dd373640%28v=vs.85%29.aspx
//PID=6168,TID=3620,Time=1937351597
SendMessage(hWnd,Msg,wParam,lParam); //hWnd=67278 ,hWndClass=TSkinPanel ,Msg=15 ,wParam=134288494 ,lParam=0
براي کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms644950%28v=vs.85%29.aspx
//PID=6824,TID=2092,Time=2439308567
RegisterHotKey(hWnd,1,MOD_ALT|MOD_NOREPEAT,66); //hwnd=0
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms646309%28v=vs.85%29.aspx
//PID=7092,TID=6444,Time=3548004930
GetKeyState(VK_NUMLOCK);
براي کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms646301%28v=vs.85%29.aspx
//PID=2780,TID=6960,Time=4224870880
GetKeyboardState(pBuffer);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms646299%28v=vs.85%29.aspx
//PID=7132,TID=1068,Time=4975615371
GetAsyncKeyState(VK_NUMPAD4);
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms646293%28v=vs.85%29.aspx
//PID=6104,TID=6948,Time=5277754960
GetRawInputData(hRawInput,RID_INPUT,pData,pcbSize,16); //pData->header.dwType=keyboard
اين خروجي نشان ميدهد که برنامه از صفحه کليد ورودي خام دريافت کرده است. (معمولا اين کار توسط Keyloggerها انجام ميگيرد.) جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms645596%28v=vs.85%29.aspx
