[求助]E语言的读入文件内存(特征码)-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
uwmnth 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	uwmnth 2 楼谁让先天不足呀。 2012-8-19 07:55 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 3 楼易语言目前不能编写驱动程序而单独的读入内存实质上是读入的你的进程空间中的内存也就是说其实你一直在读自己而通过openprocess后读其他进程内存是个办法但是病毒大多会通过r3 hook的方式不让你Open他的进程所以一般来说办法是加载一个可以读写内存的驱动程序然后通过驱动来读所有进程的进程空间进行特征码扫描但是这又是得不偿失的(从效率方面) 所以建议是加载文件过滤驱动通过过滤数据的方式进行特征比对这也是大多数杀软的标准做法唉恶心的回帖验证码啊... 2012-8-21 16:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
uwmnth 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	uwmnth 2 楼谁让先天不足呀。 2012-8-19 07:55 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 3 楼易语言目前不能编写驱动程序而单独的读入内存实质上是读入的你的进程空间中的内存也就是说其实你一直在读自己而通过openprocess后读其他进程内存是个办法但是病毒大多会通过r3 hook的方式不让你Open他的进程所以一般来说办法是加载一个可以读写内存的驱动程序然后通过驱动来读所有进程的进程空间进行特征码扫描但是这又是得不偿失的(从效率方面) 所以建议是加载文件过滤驱动通过过滤数据的方式进行特征比对这也是大多数杀软的标准做法唉恶心的回帖验证码啊... 2012-8-21 16:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复