网文典藏
文章平均质量分 76
int2e
这个作者很懒,什么都没留下…
展开
-
反病毒引擎设计全解(一)
本文将对当今先进的病毒/反病毒技术做全面而细致的介绍,重点当然放在了反病毒上,特别是虚拟机和实时监控技术。文中首先介绍几种当今较为流行的病毒技术,包括获取系统核心态特权级,驻留,截获系统操作,变形和加密等。然后分五节详细讨论虚拟机技术:第一节简单介绍一下虚拟机的概论;第二节介绍加密变形病毒,作者会分析两个著名变形病毒的解密子;第三节是虚拟机实现技术详解,其中会对两种不同方案进行比较,同时将剖析一个转载 2007-07-30 22:27:00 · 1099 阅读 · 0 评论 -
反病毒引擎设计全解(二)
1.绪 论本论文研究的主要内容正如其题目所示是设计并编写一个先进的反病毒引擎。首先需要对这“先进”二字做一个解释,何为“先进”?众所周知,传统的反病毒软件使用的是基于特征码的静态扫描技术,即在文件中寻找特定十六进制串,如果找到,就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。原因我会在以下的章节中具体描述。因此本论文将不对杀毒引擎中的特征码扫描和病毒转载 2007-07-30 22:43:00 · 1032 阅读 · 0 评论 -
反病毒引擎设计全解(三)
2.虚拟机查毒2.1虚拟机概论近些年,虚拟机,在反病毒界也被称为通用解密器,已经成为反病毒软件中最引人注目的部分,尽管反病毒者对于它的运用还远没有达到一个完美的程度,但虚拟机以其诸如"病毒指令码模拟器"和"Stryker"等多变的名称为反病毒产品的市场销售带来了光明的前景。以下的讨论将把我们带入一个精彩的虚拟技术的世界中。首先要谈及的是虚拟机的概念和它与诸如Vmware(美国VMWAR转载 2007-07-30 22:56:00 · 910 阅读 · 0 评论 -
反病毒引擎设计全解(四)
3.病毒实时监控3.1实时监控概论实时监控技术其实并非什么新技术,早在DOS编程时代就有之。只不过那时人们没有给这项技术冠以这样专业的名字而已。早期在各大专院校机房中普遍使用的硬盘写保护软件正是利用了实时监控技术。硬盘写保护软件一般会将自身写入硬盘零磁头开始的几个扇区(由0磁头0柱面1扇最开始的64个扇区是保留的, DOS访问不到)并修改原来的主引导记录以使启动时硬盘写保护程序可以取得控制转载 2007-07-30 23:08:00 · 969 阅读 · 0 评论 -
收藏一个有趣的帖子,现在的客户端真有点让人不安,难怪XSS。。。
先随便进入一个网站,比如:www.sina.com然后把下面代码贴到浏览器地址栏,回车看看发生了什么有趣的现象?javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI=document.images; DIL=DI.length; function A()转载 2007-08-03 10:09:00 · 515 阅读 · 0 评论 -
看看比尔·盖茨在关注什么
尊敬的Bok校长,Rudenstine前校长,即将上任的Faust校长,哈佛集团的各 位成员,监管理事会的各位理事,各位老师,各位家长,各位同学: 有一句话我等了30年,现在终于可以说了:“老爸,我总是跟你说,我会回来拿到我的学位的!” 我要感谢哈佛大学在这个时候给我这个荣誉。明年,我就要换工作了(注:指从微软公司退休)……我终于可以在简历上写我有一个本科学位,这真是不错啊。 我为今天在座的各位同转载 2007-08-07 21:57:00 · 726 阅读 · 0 评论 -
Zw*与Nt*的区别
某些Zw*和Nt*函数既在ntdll.dll中导出又在ntoskrnl.exe中导出,他们有什么区别呢?我们分三部分比较:step 1: ntdll.dll中的Zw*和Nt*有什么区别?step 2: ntoskrnl.exe中的Zw*和Nt*有什么区别?step 3: ntdll.dll中的Zw*与ntoskrnl.exe中的Zw*有什么区别? ntdll.dll中的Nt*与nt转载 2007-12-28 10:32:00 · 1407 阅读 · 0 评论 -
如何写windows系统已保护的内存区域
windows系统在某些版本下对某些内存区域启用了写保护的功能,因为这些区域一般合法程序是不可能修改其内容的,那么我们如何来写这些内存呢?PS:1) 这些系统包括:windows xp与windows 2003 2) CPU提供写保护的功能是从486开始的 3) 一般合法程序不包括杀毒软件,因为他们在Hook SSDT中是直接改ServiceTableBase,而没有用inline的方法转载 2007-12-28 09:55:00 · 820 阅读 · 0 评论 -
shadow ssdt学习笔记
1。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copy code typedef struct _SYSTEM_SERVICE_TABLE { PNTPROC ServiceTable; // array of entry转载 2008-01-04 08:56:00 · 2186 阅读 · 0 评论