首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]为什么病毒 没有 导入函数表? 0.00雪花
发表于: 2010-12-17 20:51 1498

[旧帖] [求助]为什么病毒 没有 导入函数表? 0.00雪花

superscoop 活跃值
2010-12-17 20:51
1498
为什么病毒 没有 导入函数表,

而要通过搜索api的方式使用api

一般的win32程序都有导入函数表的,难道病毒不是win32程序?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
pencil
雪    币: 1163
活跃值: (137)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
私信
2
加壳,免杀。
2010-12-17 20:59
0
gddcxysqw
雪    币: 40
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
免杀可以实现
2010-12-17 21:02
0
cxthl
雪    币: 249
活跃值: (71)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
4
多数都可以查得到输入表,部分加壳后查不到,或者使用loadlibrary和getprocaddress动态加载API
2010-12-17 21:41
0
笨奔
雪    币: 415
活跃值: (34)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
5
自我加载API
2010-12-17 23:36
0
lummar
雪    币: 292
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
sp
2010-12-18 10:42
0
ycmint
雪    币: 1149
活跃值: (833)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
私信
7
一般的win32程序都有导入函数表的,难道病毒不是win32程序?[/QUOTE]

这个不能这么讲:他还是应该有 只是为空,常见的病毒你可以看到
start:
mov   eax ,[esp]
...
....
他可以直接找到kernel的基址->在kernel输出表中搜索函数名->最终还是得到了需要的函数地址;
而win32 他有输入表 是有pe装载器 完成了地址填充这个过程。
都是获取了需要用的函数地址,你可以自己实现pe填充过程,这个时候就是 上面的那种情况输入表为空。。
说了这么多。。。哈哈 。。说错打错了不要见怪
。。
2010-12-18 10:58
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//