اصولا فرمت خروجي جعبه شن پارسا سازگار با زبان C++ و کاملا منطبق با طريقه فراخواني اين توابع ميباشد. به عبارتي ميتوان گفت اين جعبه شن قادر به نمايش کد سطح بالاي برنامه تحت تحليل ميباشد. در زير توابعي که در خروجي پردازشها نمايش داده ميشود، به همراه معنا و پارامترهاي آن ارائه شده است. خواندن اين بخش براي کساني که آشنايي کافي با برنامهنويسي Visual C++ (Win32) ندارند، الزامي است.
//PID=5652,TID=6524,Time=81365387314
LoadLibrary(L"C:\\Windows\\System32\\clbcatq.dll");
براي کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms684175%28v=vs.85%29.aspx
//PID=0,TID=3928,Time=82870555166
StartService(hService,0,NULL); //hSerivce points to: C:\MyDriver1.sys
با توجه به اينکه مديريت سرويسها در داخل خود هسته، و به کمک پردازش Services.exe انجام ميگيرد، اين تابع محدود به يک پردازش خاص نيست، لذا ممکن است برنامه تحت تحليل اين درايور را بارگذاري نکرده باشد، و برنامههاي ديگر اين کار را کرده باشند. البته اين تابع علاوه بر بخش تحليل پردازشها، در بخش تحليل با استفاده از تزريق کتابخانه نيز ارائه ميگردد.
جهت کسب اطلاعات بيشتر راجع به اين تابع، مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms686321%28v=vs.85%29.aspx
//PID=3516,TID=6256,Time=11126593862
CreateThread(?,?,?,?,&ThreadId); //ThreadId=5352
براي اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms682453%28v=vs.85%29.aspx
//PID=3516,TID=6892,Time=11399266486
ExitThread(?);
براي کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms682659%28v=vs.85%29.aspx
//PID=3344,TID=6568,Time=12146897070
CreateRemoteThread(hProc,?,?,?,?,?,&hThread); //hProc Points to: C:\Comodo.exe, hThread Points to thread id: 7160
اطلاعات بيشتر راجع به اين تابع در لينک زير موجود است:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms682437%28v=vs.85%29.aspx
//PID=1872,TID=4896,Time=12688407403
CreateProcess(NULL,L"C:\\Windows\\notepad.exe",?,?,?,?,?,?,&si,&pi); //pi.dwProcessId=7076
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms682425%28v=vs.85%29.aspx
//PID=5228,TID=6224,Time=14943516523
ExitProcess(?);
اطلاعات بيشتر راجع به اين تابع در لينک زير موجود است:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms682658%28v=vs.85%29.aspx
//PID=7848,TID=6704,Time=17801756386
DuplicateHandle(hSrcProc, hSrcHandle, hTarProc, &hTarHandle, PROCESS_ALL_ACCESS,?,?); //hSrcProc points to C:\test2.exe, hSrcHandle points to C:\Windows\explorer.exe, hTarProc points to C:\test.exe
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms724251%28v=vs.85%29.aspx
//PID=6004,TID=1980,Time=15762652729
OpenProcess(PROCESS_ALL_ACCESS,?,3796); //Process Id 3796 points to: C:\Windows\explorer.exe
جهت کسب اطلاعات بيشتر راجع به اين تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms684320%28v=vs.85%29.aspx
//PID=1872,TID=4896,Time=12688407879
OpenThread(THREAD_ALL_ACCESS,?,7080);
جهت کسب اطلاعات بيشتر راجع به تابع مراجعه کنيد به:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms684335%28v=vs.85%29.aspx
