计算机病毒
ykkz000
寒锋藏千年,利刃无人晓。
何日当出鞘,一斩天下知。
展开
-
计算机病毒——代码自解密
计算机病毒——代码自解密 原理实现第一个程序代码获取加密后的内容修改工程属性(可选)美化源代码原理获取内存中代码段中需解密的片段,并解密。实现为了方便,使用xor进行加解密,并使用密钥为8。需要MASMPlus和W32Dasm。第一个程序代码这里的代码并没有解密,但却在运行时解密,因此会运行时错误。.386.model flat, stdcalloption casemap :n...原创 2019-08-14 16:06:05 · 2353 阅读 · 0 评论 -
计算机病毒——Call To Pop技巧
计算机病毒——Call To Pop技巧 为什么使用Call To PopCall To Pop实例典型Call To Pop变形Call To Pop变形1变形2W32/Kris中的应用(来自《计算机病毒防护技术》一书)为什么使用Call To Pop计算机病毒需要将自己插入宿主中,绝对地址难以获取,运行时虽然我们不能读写EIP,但是call指令会将当前指令的下一指令地址压入栈,方便获取。...原创 2019-08-16 21:41:56 · 419 阅读 · 0 评论 -
计算机病毒——混合数据防反汇编
计算机病毒——混合数据防反汇编混合数据防反汇编混合数据防反汇编这个内容很简单,直接上代码jmp Nextdb 8BhNext:;其余代码这样运行正常,但反汇编很可能把db 8Bh 算入指令,导致后面反汇编结果全部错误...原创 2019-08-16 21:51:12 · 195 阅读 · 0 评论 -
计算机病毒——代码自解密2
计算机病毒——代码自解密2问题改进这一次实验的基本代码编写完整代码问题上一篇博客上次的程序修改了代码区,因此改变了代码段属性,那么反病毒程序可以通过判断段属性异常来查毒(不是病毒也可能会报毒)。因此我们需要换一个段来存储并运行被加密的代码。改进.一般,我们常用的段有:代码段,可读可执行不可写数据段,可读可写不可执行堆栈段,可读可写可执行因此我们可以选择堆栈段来存储运行。堆不好操...原创 2019-08-22 21:51:49 · 827 阅读 · 0 评论