|
[讨论]对付杀软进绝境了吗?
好久没来了......... 大多数av目前判断数字签名是首先通过vm来模拟你的程序行为,如果你的程序行为本身不具备任何危险行为,那么即使没数字签名av也不会有提示的,所以只要我们让他的vm模拟不到危险动作即可 kis 就是这个的典型。 如现在的kis 2010,通过anti 机制,不需要数字签名也可以完全bypass..只不过需要动点脑子而已.... 小红伞?呵呵 那个dna scan确实很恶心, 对付小红伞部分敏感代码加密,然后解密头增加混淆代码。做到这点还不够,更重要是从文件结构下手.. 其他的杀毒软件, 如趋势。对付它和小红伞的方式差不多,不过过它的行为,得转本做一套机制。 至于其余的杀毒软件,没什么可说的,相信各位也没什么问题。。 |
|
[建议]我认为安全的xp系统安装过程
avast ? 这个杀软我只能是无语,还有那个小红伞。貌似误报率高,他们会引以为傲? 另外系统安全,我觉得安装杀软不是必须的。实际上我们的电脑平常别人也不碰,所以仅仅需要把补丁及时更新,浏览网页使用非IE内核的浏览器,然后定期查看下自己的网络连接状态就行。 |
|
|
|
[分享]自己的简单病毒
首先我从不数落任何人。也没资格数落,我就是一个孤独的也是一个人战斗的超菜超菜的小vxer。 为啥我要说代码很烂,是因为它的代码写的没个自己的原创,完全摘抄,然后是看到那个后语更觉得很无语。所以这样的代码,你还真不如按照我所说的直接用人家老罗的添加节代码得了(起码人家的代码还多加几个seh,起码人家的还没有一些无用的代码指令),我是实事求的说下感想, 下次这样的帖子还是不回复了。 |
|
|
|
|
|
[求助]api函数的地址可能通过GetProcAddress函数得到,为什么还要通过 扫描kernel32.dll方式得到啊?
不知道这个标题的意义。GetProcAddress不也是扫描kernel32.dll的输出表来得到的。你要获得GetProcAddress还是需要自己实现一个GetProcAddress过程,来获取。。 一般程序初始化时是默认加载ntdll.dll, kernel32.dll, gdi32.dll。但是加载了,你怎么调用....还是要首先获取这些动态库里的输出函数,那么这个时候就需要你自己来实现一个GetProcAddress。 因为如果一旦被寄生程序的引入表中没有引入病毒调用的api函数等, 我们的病毒就没办法去获取函数并执行。或者被寄生程序的引入表没有引入GetProcAddress。(即使引入了你也得搜索引入表的地址表,计算完地址后再来填充自己的病毒代码中,你不觉得更恶心吗)。 所以这个时候就需要自己来实现GetProcAddress。为什么要通过hash扫描. 1: 为了体积, 函数字符串均采用4字节hash值定义。 2: 为了躲避杀毒软件,因为现在部分采用dna扫描的杀毒软件非常敏感一些函数的名称。 |
|
[求助]用fasm编译汇编程序时的错误?
macro .fixups { align 0x2 data fixups end data align 0x2 } .idata是我的一个自动构建输入表的宏,这个宏牵扯的太多东东,改了fasm自身的import宏以及其他相关部分,改天我修改一个fasm版本传上来。你目前可以自己通过本身fasm自带的构建引入表的宏构建下。 例如 data import library user32,'user32.dll' import user32, \ MessageBox, 'MessageBoxA' end data |
|
[求助]用fasm编译汇编程序时的错误?
呵呵都是我自己的宏,网上找不到头文件。。 @pushsz是我的一个宏,用于压入构造字符串地址。 ;.text macro macro .text { section '.text' code readable executable writeable } call @f db 'dll', 0 @@: macro @pushsz argc{ local .string forward if ~ argc eq if argc eqtype '' call .string db argc, 0 .string: else push argc end if end if } |
|
[求助]masm32编程,wsprintf函数获取时间 问题
注意看结构啊。 typedef struct _SYSTEMTIME { WORD wYear; WORD wMonth; WORD wDayOfWeek; WORD wDay; WORD wHour; WORD wMinute; WORD wSecond; WORD wMilliseconds; } SYSTEMTIME, *PSYSTEMTIME; 它的成员是2字节的。 需要通过movzx来扩展下。 如 movzx eax, word [edx+SYSTEMTIME.wDay] push eax movzx eax, word [edx+SYSTEMTIME.wMonth] push eax movzx eax, word [edx+SYSTEMTIME.wYear] push eax @pushsz '%d年, %d月, %d日' push edi callw wsprintf |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值