![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒与反病毒技术
文章平均质量分 71
p123456789p
这个作者很懒,什么都没留下…
展开
-
恶意代码的亲密接触之病毒编程技术(2)
恶意代码的亲密接触之病毒编程技术(2) PE 病毒技术剖析 典型的PE病毒修改PE文件,将病毒体代码写入PE 文件文件中,更新头部相关的数据结构,使得修改后的PE文件仍然是合法PE文件,然后将PE入口指针改为指向病毒代码入口,这样在系统加载PE文件后,病毒代码就首先获取了控制权,在执行完感染或破坏代码后,再将控制权转移给正常的程序代码,这样病毒代码就神不知鬼不觉地悄悄运行了。转载 2009-03-19 17:23:00 · 855 阅读 · 0 评论 -
(11)Win32下病毒设计入门详细解说
Win32下病毒设计入门详细解说 本文假定你对dos下的病毒和386PM有一定的了解。 1、感染任何一个病毒都需要有寄主,把病毒代码加入寄主程序中(伴侣病毒除外) 以下说明如何将病毒代码嵌入PE文件中,有关PE文件的结构请看以前的文章。 PE文件的典型结构:MZ Header DOS STUB CODE PE HEADER OPTIONAL HEADER SECTION转载 2009-03-20 11:24:00 · 957 阅读 · 1 评论 -
(10)揭开病毒的奥秘 DLL的远程注入技术详解
揭开病毒的奥秘 DLL的远程注入技术详解 DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载转载 2009-03-20 11:16:00 · 500 阅读 · 0 评论 -
(9)亲密接触恶意代码之文件感染和内存驻留
亲密接触恶意代码之文件感染和内存驻留 内存驻留感染技术 如果读者曾经使用过MS-DOS的话,对驻留内存、截获中断以执行特定操作的程序(TSR)一定不会陌生。在MS-DOS时代,不仅正常的应用程序大量使用TSR技术,病毒同样也利用TSR 技术驻留内存,监视文件读写操作并伺机进行感染。 在Windows NT下,各个进程的地址空间被隔离了,不同进程之间不能自由地相互访问内存,而且转载 2009-03-20 11:01:00 · 706 阅读 · 0 评论 -
(8)亲密接触恶意代码之文件感染和内存驻留
亲密接触恶意代码之文件感染和内存驻留 PE 文件的修改和感染策略 既然已经能够搜索磁盘及网络共享文件中的所有文件,要实现寄生,那么自然下一步就是对搜索到的PE文件进行感染了。感染PE的很重要的一个考虑就是将病毒代码写入到PE 文件的哪个位置。读写文件一般利用Win32 API CreateFile、CreateFileMapping、MapViewOfFile等API以内存映射转载 2009-03-20 10:57:00 · 682 阅读 · 0 评论 -
(7)亲密接触恶意代码之文件感染和内存驻留
亲密接触恶意代码之文件感染和内存驻留 这次,作者将和大家一起讨论病毒的感染技术。另外,从本文开始,我们将陆续接触到一些病毒的高级编码技术。例如,内存驻留、EPO(入口点模糊)技术、加密技术、多态和变形等。通过这些高级技巧,你将进一步感受到病毒技术的精华,从而更好的享受其中精妙的思想与编程技艺。 在解决了起始目录的问题之后,就可以从这些起始目录开始使用FindFirstFile和转载 2009-03-20 10:55:00 · 672 阅读 · 0 评论 -
(6)恶意代码的亲密接触之文件搜索和API导址
恶意代码的亲密接触之文件搜索和API导址 文件搜索 文件搜索是病毒的重要功能模块之一,也是实现感染和传播的关键。现代Windows和各种移动介质的文件系统可能采用多种复杂格式,因此象一些Dos 病毒一样试图直接存取文件系统(读写扇区)是不大现实的。通常利用Win32 API 的FindFirstFile 和FindNextFile 来实当前目录下所有目录和文件的搜索,通过判断搜转载 2009-03-20 10:53:00 · 561 阅读 · 0 评论 -
(5)恶意代码的亲密接触之文件搜索和API导址
恶意代码的亲密接触之文件搜索和API导址 解析PE文件的导出函数表 PE文件的函数导出机制是进行模块间动态调用的重要机制,对于正常的程序,相关操作是由系统加载器在程序加载前自动完成的,对用户程序是透明的。但要想在病毒代码中实现函数地址的动态解析以取代加载器,那就有必要了解函数导出表的结构了。在图1 中可以看到在PE头结构IMAGE_OPTIONAL_HEADER32转载 2009-03-19 17:26:00 · 459 阅读 · 0 评论 -
(4)恶意代码的亲密接触之文件搜索和API导址
恶意代码的亲密接触之文件搜索和API导址 在前一篇文章中介绍了病毒的相关基础知识后,从本文开始我们就要深入病毒内部,开始看一些具体的病毒编码片断,在本文中我们会看到API函数搜索以及文件搜索的技术,为后面更加深入的探讨打下良好的基础,如果你已经准备好了,就让作者带你进入这无所不用其极的病毒技术世界吧。 获取Kernel32.DLL 基址 获取Kernel32.DL转载 2009-03-19 17:25:00 · 446 阅读 · 0 评论 -
恶意代码的亲密接触之病毒编程技术(3)
恶意代码的亲密接触之病毒编程技术(3) 重定位 病毒自身的重定位是病毒代码在得以顺利运行前应解决的最基本问题。病毒代码在运行时同样也要引用一些数据,比如API 函数的名字、杀毒软件的黑名单、系统相关的特殊数据等,由于病毒代码在宿主进程中运行时的内存地址是在编译汇编代码时无法预知的,而病毒在感染不同的宿主时其位于宿主中的准确位置同样也无法提前预知,因此病毒就要转载 2009-03-19 17:24:00 · 644 阅读 · 0 评论 -
恶意代码的亲密接触之病毒编程技术(1)
恶意代码的亲密接触之病毒编程技术 生活在网络时代,无论是作为一名程序员抑或是作为一名普通的电脑使用者,对病毒这个词都已经不再陌生。网络不仅仅是传播信息的快速通道,从另外一个角度来看,也是病毒得以传播和滋生的温床,有资料显示,未安装补丁的Windows操作系统连接至internet平均10-15分钟就会被蠕虫或病毒感染。各种类型的病毒,在人们通过网络查阅信息、交换文件、收听视频时正在悄转载 2009-03-19 17:22:00 · 613 阅读 · 0 评论 -
Win32病毒入门 -- ring3篇
Win32病毒入门 -- ring3篇 by pker / CVC.GB 1、声明-------本文仅仅是一篇讲述病毒原理的理论性文章,任何人如果通过本文中讲述的技术或利用本文中的代码写出恶性病毒,造成的任何影响均与作者无关。 2、前言-------病毒是什么?病毒就是一个具有一定生物病毒特性,可以进行传转载 2009-03-20 16:12:00 · 1319 阅读 · 0 评论