能力值:
( LV2,RANK:10 )
|
-
-
2 楼
md5
.
|
能力值:
( LV9,RANK:610 )
|
-
-
3 楼
md5改一个字节就过了啊,也不行~
|
能力值:
( LV5,RANK:60 )
|
-
-
4 楼
md5不行,因为人家可能和教主说的一样更改,我只是说我不进行PE文件的更改,别人可以进行教小的改动
|
能力值:
( LV9,RANK:610 )
|
-
-
5 楼
非常不好弄,你们可以参考一下OD为了防Anti所做的工作,虽然Anti很多,大家不都一一搞定了吗?你这个是同样的道理~
|
能力值:
( LV3,RANK:20 )
|
-
-
6 楼
关注,我想问下,若是md5的话那如何搞啊?
|
能力值:
( LV12,RANK:210 )
|
-
-
7 楼
hook 进程创建函数不行吗?
|
能力值:
( LV5,RANK:60 )
|
-
-
8 楼
我原以为这是一个很简单的问题,没想到是个很复杂的问题。。。。
|
能力值:
( LV5,RANK:60 )
|
-
-
9 楼
所有进程创建都拒绝?还是都放过?
如何定位当前的这个将要被创建的进程就是要阻止的那个?这个问题是关键。。。
|
能力值:
( LV5,RANK:60 )
|
-
-
10 楼
如果是根据MD5来比对的话,那么如教主所说的随便更改一下,MD5就不一样了,那么肯定就没办法定位了
|
能力值:
( LV3,RANK:20 )
|
-
-
11 楼
楼上的如何做啊。若是md5的,说说大约原理,也要hook的??
对了。系统里的散列就是md5么?
|
能力值:
( LV15,RANK:340 )
|
-
-
12 楼
反过来考虑,阻止所有不认识的程序运行。
首先默认当前系统的所有可执行文件都是干净的,并且很少更新。记下这些文件的MD5和路径名列表,当有程序运行时检查这个程序是否在这个列表中,不在则阻止(或者提示用户可疑程序运行)。
|
能力值:
( LV9,RANK:780 )
|
-
-
13 楼
这个让我想到了一个杀毒软件 -微点
|
能力值:
( LV3,RANK:20 )
|
-
-
14 楼
当有程序运行时检查这个程序是否在这个列表中,不在则阻止(或者提示用户可疑程序运行)。
这一步是要怎么监视?就是当有进程运行,但是并没运行起来时,阻止~
|
能力值:
( LV5,RANK:60 )
|
-
-
15 楼
进程创建有很多工作要做的,在里面适当位置做判断
|
能力值:
( LV12,RANK:210 )
|
-
-
16 楼
白名单黑名单对比MD5
|
能力值:
( LV12,RANK:210 )
|
-
-
17 楼
读取进程文件某部分固定值(不随软件升级 更新而变)
|
能力值:
( LV12,RANK:210 )
|
-
-
18 楼
如何计算MD5值,即使软件更新打补丁不影响MD5值的变化
|
能力值:
( LV9,RANK:610 )
|
-
-
19 楼
那你这个MD5太牛了,都失去意义了。。。
|
能力值:
( LV9,RANK:380 )
|
-
-
20 楼
进程创建前拦截,然后读取某一内存地址,当然这个内存地址里的数据是唯一能够证明就是这个文件的。。
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
计算他的text段的值?
|
能力值:
( LV12,RANK:210 )
|
-
-
22 楼
不够6个字
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
20楼说的跟特征码基本一个道理啊。
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
郁闷,可执行文件的加载过程想不起来了,先回去复习一下再来,闪人睡觉。
|
能力值:
( LV12,RANK:760 )
|
-
-
25 楼
唯一比较好的方法就是特征码,特殊位置,特殊长度内容的HASH其实也是变形的特征码方案。
|
|
|