关于 EPO 的一点想法

最新推荐文章于 2024-05-21 13:01:29 发布
最新推荐文章于 2024-05-21 13:01:29 发布
阅读量971 收藏
点赞数
分类专栏: 技术人生 文章标签: mfc 编译器 exe 引擎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nbw/article/details/408079
版权

EPO是写病毒用的一门防杀技巧,从文件头的地方跳转,在一定程度上防止AV检测,跳转地方选择的越深,隐藏性能越好。

跳转处的选择一般决定于LDE(专门分析指令长度的引擎)的性能。搞个LDE很麻烦,我的想法,是搞个通用表,里面放上常用的编译器编译出来的exe的指令,比如MFC的:

004021D0 H>    55                      push ebp
004021D1       8BEC                    mov ebp,esp
004021D3       8B45 14                 mov eax,dword ptr ss:[ebp+14]
004021D6       50                      push eax
004021D7       8B4D 10                 mov ecx,dword ptr ss:[ebp+10]
004021DA   |.  51                      push ecx

将当前宿主的文件头跟表里的比较,如果一样,那就桉MFC的程序算,往下跳转的地方选择的深一点。表里再放上别的常用编译器特征,虽然说通用性能差,但是速度快,也不占用空间,个人感觉有点前途,没见过此类东西出现,或许有人已经用过也未必。

nbw
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EPO.rar_epo
09-14
EPO病毒的介绍和检测技术文档,适合初学者学习
一天做100张图?只有 AI 能做到!
喜欢打酱油的老鸟
01-20 1482
“一天做100张图”的过分要求,激起了设计师对于甲方的愤怒。在探究这个要求为何如此过分的同时,或许也可以看看是否还有其他人可以担任如此“重任”。 还记得叫员工“一天出100张图”的深圳飞跃旅行创始人王小琴吗? 因为此后的各种爆炸性新闻,这件事很快就被网民抛在了脑后。一星期过去了,她跟她的公司似乎没受到太大影响。 在正常上班时间内完成 100 张图,平均留给每张图的时间只有 3 分...
Linux下select, poll和epoll IO模型的详解
11-28 1998
一).Epoll 介绍 Epoll 可是当前在 Linux 下开发大规模并发网络程序的热门人选, Epoll 在 Linux2.6 内核中正式引入,和 select 相似,其实都 I/O 多路复用技术而已 ,并没有什么神秘的。其实在 Linux 下设计并发网络程序,向来不缺少方法,比如典型的 Apache 模型( Process Per Connection ,简称 PPC ), TPC (
复杂语境下的实体关系抽取
zenRRan的博客
07-23 1082
点击下面卡片,关注我呀,每天给你送来AI技术干货!嘉宾:曾道建湖南师范大学助理教授整理:盛泳潘重庆大学 助理研究员出品:DataFunTalk导读:实体关系抽取是知识图谱构建过程中的...
Perl年满30岁,其社区继续蓬勃发展
cumj63710的博客
06-28 317
1987年12月18日,拉里·沃尔(Larry Wall)在comp.sources.misc Usenet新闻组中发布了Perl 1.0。从那时起的近30年中,语言和发扬它的发烧友社区都在蓬勃发展,并且不断发展壮大。这样做,尽管有相反的建议! Wall的基本主张- 有多种方法可以实现 -继续引起开发人员的共鸣。 Perl允许程序员体现程序员的三个主要美德:懒惰,急躁和自大。 Perl最初...
MCAFEE EPO5.10安装手册
10-17
mcafee 5.10官方下载的中文安装手册(20181016lsq),里面有详细的安装说明 适用于5.10-5.13版的EPO部署
EPO-pls_matlab .m
06-03
EPO-pls_matlab .m
macfee-epo安装文档
05-28
macfee-epo 网络 杀毒软件 安装步骤,杀毒软件指南,ETP5.9.1部署安装指南-新版本。Mcafee agent部署安装步骤。病毒库下载更新
MACFEE epo5800eng
04-27
macfee 5800杀毒扫描引擎
加密算法分析经验小结
nbw的专栏
07-09 2006
加密算法分析经验小结注:随便写点,供自己以后再分析算法时候看,免得走弯路分析加密算法是一件很头大的事情,这里针对通用的加密算法,譬如MD5,AES之类,谈谈分析经验。通用加密算法都不可小觑,其作者莫出科学家之外,就算不是科学家,搞出来那也成了科学家。这类算法由于浸泡了深厚的数学功力,在我等看来高深莫测。这里不说其原理等等,单表如何逆向分析并重写出来。从反汇编角度,这类算法往往有以下特点:1、代码很
驱动防int3
nbw的专栏
07-03 1757
最近系统又超级慢,狠心下了新的诺顿病毒库,然后扫了一下C盘,被查出来一个Saga.sys,搜了一下,说是hexer、forgot修改的Telock用来防止int3的驱动。simonzh2000对此文件的注释:.586p.mmx.model flat, stdcalloption casemap: noneassume fs :flatHOOKINT   equ  20h.codestartup: 
关于病毒发作的时机问题
nbw的专栏
07-02 956
在cvc看到一个家伙说AV的虚拟机检测病毒要把病毒的每个跳转都运行到。不知道真假,我想病毒一般没必要这样吧,都是一筒子到底,没必要这样搞吧。蛋是我想是不是可以搞个随机发作。以后发作的时候并不是每次都发作,这样VM虚拟运行检测的时候总会有些遗漏。不知道是不是有人这么做。深。。。
I/O与逆向
nbw的专栏
07-07 881
I/O与逆向刚进大学学pascal时候就知道了input,output。可以说自从有了冯诺伊曼,就有了I/O。据说有老冯的思想并不能包含计算机界的全部,但我想别的冯xx架构计算机应该也有I/O。I/O跟逆向有啥关系呢?这要从头说起。我想很多人开始看反汇编代码都有个疑惑,那就是那么多反汇编代码,要从哪里开始看?看到哪里?中间那么多代码,都要一句一句看么?我经常想,如果哪天给我一堆汇编代码,我不知道从
IT、建筑和老鼠
nbw的专栏
07-04 857
一直感觉搞IT的跟建筑的比较象。搞懂数据结构大概就相当于泥瓦匠,知道怎么盖,墙才结识,跟鲁班差不多;搞懂算法大概就相当于建筑师,知道怎么设计,房子才好看,跟梁思成差不多;那我这种算啥聂?偶尔挑个墙角,钻进去,大喊一声“这里是砖头”;原来如此啊。living in the world , like mouse i am ......
Vm Funsion使用Fn快捷键
nbw的专栏
10-29 695
VM Funsion中使用Fn功能键系统偏好设置–键盘–将F1、F2。。。。。选中
MFC扩展库BCGControlBar Pro v34.1新版亮点:日历和计划表等功能升级
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
05-20 721
本文将介绍MFC界面开发组件BCGControlBar Professional for MFC v34.1的一些亮点,欢迎下载相关产品体验~
MFC:CFileFind类使用方法介绍
m0_72128260的博客
05-18 645
CFileFind类是MFC中关于文件操作(含目录,目录是特殊的文件,下面内容中不区分文件和目录,同一称作文件)的一个很重要的类,封装了关于文件查找、遍历的多种操作。
【C++】模板的下一步,STL标准模板库的介绍
最新发布
sobercq的博客
05-21 583
STL是C++,Standard Template Library(标准模板库)的缩写。是C++标准库的重要组成部分,不仅是一个可复用的组件库,而且是一个包罗数据结构与算法的软件框架。提供了一组模板化的常见数据结构和算法,并且由于其模板本质,能够以类型无关的方式处理数据。什么是C++标准库?C++标准库是C++语言的一个核心部分,它为程序员提供了一系列预定义的类和函数。这些类和函数用于实现常见的程序任务,如输入/输出处理(I/O)、字符串操作、数学计算、时间/日期处理、数据结构和算法等。
McAee EPO教程
09-02
以下是一些关于McAfee EPO的基本教程步骤: 1. 安装和配置:首先,你需要下载并安装McAfee EPO软件。安装完成后,你需要配置数据库以及其他必要的设置。 2. 设备管理:使用McAfee EPO,你可以管理企业网络中的各种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值