能力值:
( LV12,RANK:230 )
|
-
-
2 楼
加壳,免杀。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
免杀可以实现
|
能力值:
( LV7,RANK:100 )
|
-
-
4 楼
多数都可以查得到输入表,部分加壳后查不到,或者使用loadlibrary和getprocaddress动态加载API
|
能力值:
( LV5,RANK:60 )
|
-
-
5 楼
自我加载API
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
sp
|
能力值:
( LV13,RANK:260 )
|
-
-
7 楼
一般的win32程序都有导入函数表的,难道病毒不是win32程序?[/QUOTE]
这个不能这么讲:他还是应该有 只是为空,常见的病毒你可以看到
start:
mov eax ,[esp]
...
....
他可以直接找到kernel的基址->在kernel输出表中搜索函数名->最终还是得到了需要的函数地址;
而win32 他有输入表 是有pe装载器 完成了地址填充这个过程。
都是获取了需要用的函数地址,你可以自己实现pe填充过程,这个时候就是 上面的那种情况输入表为空。。
说了这么多。。。哈哈 。。说错打错了不要见怪
。。
|
|
|