LLC

//为了简化代码，下面程序中去掉了对出错处理的代码，实际应用中应该考虑程序运行时可能的出错：#include "stdafx.h"static PIMAGE_NT_HEADERS nt_header;#define IMAGESIZE (nt_header->OptionalHeader.SizeOfImage)#define EXPORT_TABEL (nt_heade

http://www.cnitblog.com/cc682/archive/2009/05/28/58883.html

http://code.google.com/p/malware-analysis/

http://hi.baidu.com/fenjianren/item/62d5a0ab23225415a8cfb77c

在国外的那些病毒高手已经开始抛弃polymorphism而转向metamorphism的时候，中国有几个人知道Funlove这种很简单的病毒（没有加密，更没有变形，唯一的技巧就是对NT进行了Patch）的原理呢？我曾经思考过一个实现metamorphism（严格说是semi-metamorphism，但足以使AVer的虚拟机无效）的方法，但这个想法出来的时候，29A发布了ezine #6，里面一个

Zudy : a game robot programAudy : a Anti Anti-Virus programXudy : a game robot programFudy : a firewall program

http://www.cnblogs.com/daxingxing/archive/2011/12/16/2290353.html

DLL的实际装入地址不在01000000这一段严格来说，应该是找kernel32.dll的基址，因为程序在入口点处的[esp]值，在kernel32.dll中。找到了kernel32.dll的基址之后，通过查找其输出表，就可以找到LoadLibraryA和GetProcAddress这两个关键API的地址，然后再利用这两个函数得到其他API的地址（或者仍然通过查找输出表得到）。以上就是

多么好的书，可是我没有时间，，，，http://securityxploded.com/bookofthemonthlist.php

啊哈，，好东西应该跟大家分享属于你的我的安全

http://dudeaap.bokee.com/5535366.html http://hi.baidu.com/kgdiwss/blog/item/ce21bb1939d7df4543a9aded.html http://joson-joson.blog.sohu.com/166064894.html http://blog.csdn.net/gzfqh/article

点击打开链接

使用vmp 1.0.9 最小保护处理了两条指令，如下所示： 0045E3A0 | 837D F4 7B                      | cmp dword ptr ss:[ebp-C],7B                            | vmp_1.0.9_test.cpp:12, 7B:'{'0045E3A4 | 75 16                   ...