[原创]启发式查毒，全过。-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (35) ◀ 1 2
tompaz 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	tompaz 2010-9-15 21:19 26 楼 0 引擎直接匹配字串“URLDownloadToFileA”之类的得把字串加密一下。这个加密了也没用吧，以前尝试过类似的，是否可以通过dll中的序号来载入？另外不明白这样加载函数有什么实际性意义呢？难道启发式杀毒不去关心更底层点的函数比如LdrpSnapThunk？
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 17 回帖 222 粉丝 0 关注私信	iiii 1 2010-9-15 21:28 27 楼 0 另外不明白这样加载函数有什么实际性意义呢？难道启发式杀毒不去关心更底层点的函数比如LdrpSnapThunk？启发查毒引擎虽不是想像中的白痴但也没有你想像中的高明它们有跟踪范围也有跟踪深度。引擎直接匹配字串“URLDownloadToFileA”之类的得把字串加密一下。这个是有用的＝＝。只是看你怎么做了~~~
tompaz 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	tompaz 2010-9-15 23:16 28 楼 0 在你调用GetProcAddress的时候，总是要解密回来的吧？
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 2010-9-19 14:47 29 楼 0 密码刚刚找到就看见这样好的帖子。。。顶一下。
gongbin 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	gongbin 2010-9-30 11:36 30 楼 0 第一次见这个方法。
davidfoxhu 雪币： 2555 活跃值： (171) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 176 粉丝 0 关注私信	davidfoxhu 1 2010-9-30 13:45 31 楼 0 ULONG uRet = (ULONG)GetProcAddress( hSelf, "szFile"); 中"szFile",没看懂,楼主解释一下,谢谢!!!
lidyt 雪币： 145 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	lidyt 2010-9-30 14:07 32 楼 0 标记一下
lsqlong 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	lsqlong 2010-10-1 12:19 33 楼 0 学习了，，!! 看看其它
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 488 粉丝 10 关注私信	非安全 17 2010-10-21 18:05 34 楼 0 不知道能过微点吗？
夏蛋雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 57 粉丝 0 关注私信	夏蛋 2010-10-21 19:00 35 楼 0 强力啊，火速标记
lofullen 雪币： 292 活跃值： (126) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 111 粉丝 2 关注私信	lofullen 2010-10-23 09:17 36 楼 0 我用汇编写过，好像行不通啊，首先执行这代码的应该不是DLL，GetModuleHandle(nil) 说明是EXE模块, 把EXE自身的输出表长度设置成80000000h 在以 kernel32.WinExec 的形式调用 GetProcAddress 那么。你这个EXE 自身肯定没有输出表, 我跟踪过 ntdll 的 LdrGetProcedureAddress 和帖子里所说的 LdrpSnapThunk , 但似乎对于自身没有输出表的他会遍历所有模块，但是好像不是遍历所有输出表，包括 kernel32.dll, 但是我不理解的是，他已经跑到别的模块中找输出表了，你对自身设置输出表大小有何作用？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (35) ◀ 1 2
tompaz 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	tompaz 2010-9-15 21:19 26 楼 0 引擎直接匹配字串“URLDownloadToFileA”之类的得把字串加密一下。这个加密了也没用吧，以前尝试过类似的，是否可以通过dll中的序号来载入？另外不明白这样加载函数有什么实际性意义呢？难道启发式杀毒不去关心更底层点的函数比如LdrpSnapThunk？
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 17 回帖 222 粉丝 0 关注私信	iiii 1 2010-9-15 21:28 27 楼 0 另外不明白这样加载函数有什么实际性意义呢？难道启发式杀毒不去关心更底层点的函数比如LdrpSnapThunk？启发查毒引擎虽不是想像中的白痴但也没有你想像中的高明它们有跟踪范围也有跟踪深度。引擎直接匹配字串“URLDownloadToFileA”之类的得把字串加密一下。这个是有用的＝＝。只是看你怎么做了~~~
tompaz 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	tompaz 2010-9-15 23:16 28 楼 0 在你调用GetProcAddress的时候，总是要解密回来的吧？
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 2010-9-19 14:47 29 楼 0 密码刚刚找到就看见这样好的帖子。。。顶一下。
gongbin 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	gongbin 2010-9-30 11:36 30 楼 0 第一次见这个方法。
davidfoxhu 雪币： 2555 活跃值： (171) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 176 粉丝 0 关注私信	davidfoxhu 1 2010-9-30 13:45 31 楼 0 ULONG uRet = (ULONG)GetProcAddress( hSelf, "szFile"); 中"szFile",没看懂,楼主解释一下,谢谢!!!
lidyt 雪币： 145 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	lidyt 2010-9-30 14:07 32 楼 0 标记一下
lsqlong 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	lsqlong 2010-10-1 12:19 33 楼 0 学习了，，!! 看看其它
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 488 粉丝 10 关注私信	非安全 17 2010-10-21 18:05 34 楼 0 不知道能过微点吗？
夏蛋雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 57 粉丝 0 关注私信	夏蛋 2010-10-21 19:00 35 楼 0 强力啊，火速标记
lofullen 雪币： 292 活跃值： (126) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 111 粉丝 2 关注私信	lofullen 2010-10-23 09:17 36 楼 0 我用汇编写过，好像行不通啊，首先执行这代码的应该不是DLL，GetModuleHandle(nil) 说明是EXE模块, 把EXE自身的输出表长度设置成80000000h 在以 kernel32.WinExec 的形式调用 GetProcAddress 那么。你这个EXE 自身肯定没有输出表, 我跟踪过 ntdll 的 LdrGetProcedureAddress 和帖子里所说的 LdrpSnapThunk , 但似乎对于自身没有输出表的他会遍历所有模块，但是好像不是遍历所有输出表，包括 kernel32.dll, 但是我不理解的是，他已经跑到别的模块中找输出表了，你对自身设置输出表大小有何作用？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复