- 博客(6)
- 资源 (55)
- 收藏
- 关注
原创 前置病毒感染方式学习笔记
前置病毒,和资源感染类似,资源感染是病毒把宿主程序添加到程序的资源中,替换覆盖原程序,运行时将宿主程序释放成一个临时文件运行。前置病毒是读取病毒和宿主程序数据,然后将病毒和宿主程序数据再以病毒 --> 宿主程序的顺序写入宿主程序文件,运行时创建一个临时文件,读取程序中宿主程序的数据写入临时文件运行。文件型病毒至少有这四个模块:1> 条件模块:判断触发条件和寻找符合条件的宿主文件2>
2013-11-17 19:28:07 1519
原创 病毒资源感染方式学习笔记
本文学习自:关于感染型病毒的那些事(三) by gaa_ra 代码也来自gaa_ra资源感染,就是将宿主程序作为病毒程序的一个资源来保存,将附加了宿主程序的病毒程序覆盖原来的宿主程序,当打开病毒文件时,病毒发作并将宿主程序释放出来运行。进行资源感染后,打开感染文件的过程大致如下:CreateFile创建资源文件,用于存放要被释放出来的宿主文件 --> FindResource查
2013-11-15 23:17:39 1101
原创 打造DLL内存加载引擎学习笔记
首先看下我们内存加载引擎的流程。 1. 申请一段大小为dll映射内存后的映像大小的内存空间。 2. 移动各个区段的数据到申请的内存。 2. 修复引入表结构的地址表。 4. 通过重定位结构修复需要重定位的地址。 5. 调用DllMain入口点流程解析:pe结构中nt header结构当中的ImageSize存放的是我们整个文件
2013-11-14 18:19:37 2055
原创 搜寻节空隙感染学习笔记
原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题上面代码中include了VirusLib.asm文件,里面包含了一些病毒中常用函数:;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>; 测试是否是P
2013-11-08 15:12:07 1180
原创 扩展节形式感染学习笔记
原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题
2013-11-05 22:32:16 989
原创 变形PE头添加节形式感染学习笔记
原文链接:点击打开链接1> 变形PE头的原理:这里的变形PE头的思路是用的比较方便的方法,就是将IMAGE_DOS_HEADER 和 IMAGE_NT_HEADER 结构融合到一起。因为我们都知IMAGE_DOS_HEADER和IMAGE_NT_HEADER的结构成员很多我们是用不到的,所以我们可以按照相应的结构排列,把这些无用的结构成员,融合到一起后,替换成一些有用的
2013-11-02 11:46:19 1994
Programming the Microsoft Windows driver model中文
2013-01-25
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人