首页
社区
课程
招聘
[旧帖] 这个过杀毒过保护的方法是什么原理 0.00雪花
发表于: 2015-4-26 20:57 4598

[旧帖] 这个过杀毒过保护的方法是什么原理 0.00雪花

2015-4-26 20:57
4598
一个程序运行后在Temp释放出一个计算器5555.tmp,
我把5555.tmp改成.exe运行后发现是个计算器calc.exe

也就是这个打开.exe--找.exe程序窗口--找进程名字--是5555.tmp 而5555.tmp 又不是.exe是个计算器calc.exe

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 5467
活跃值: (1435)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
本来还不想睡觉的,被楼主这样一绕,现在脑袋有点晕晕的,想睡觉了。
2015-4-26 21:11
0
雪    币: 8
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
程序的路径不是自己,是其他的文件,是个计算器
我好像在哪文章看到过,利用杀毒白名单做免杀,我想知道什么原理
2015-4-26 21:25
0
雪    币: 292
活跃值: (153)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
dump出来的在临时文件夹,shellcode执行,现在过不了杀毒软件,以前可以!
2015-4-26 22:15
0
雪    币: 144
活跃值: (335)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
mark下 貌似有点好玩
估计是修改的peb
2015-4-27 10:04
0
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我猜也许是进程伪装吧 ?通过修改文件进程把一个tmp变成了系统文件
2015-4-28 10:52
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
木马加载吧  一般游戏外挂用到
2015-12-17 21:56
0
游客
登录 | 注册 方可回帖
返回
//