[原创]跟着病毒学技术---学习WannaCry自己实现LoadLibrary-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (35) ◀ 1 2
编程小白雪币： 441 活跃值： (1055) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 26 楼点赞！ 2018-1-17 16:48 0
ielts 雪币： 965 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 254 粉丝 1 关注私信	ielts 27 楼支持 2018-1-23 11:39 0
千缕情丝雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	千缕情丝 28 楼 mark 2018-1-25 18:02 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 29 楼在哪里都能看见有人说，”这个早就有了“，“这个老技术”，“这个到处都是”，我都怀疑自己是不是地球人了！这样的帖子我第一个支持，反正对我很有帮助就是了！ 2018-2-6 02:39 0
Dascolee 雪币： 33 活跃值： (318) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 25 粉丝 10 关注私信	Dascolee 30 楼支持 2018-4-9 18:01 0
yyyang 雪币： 822 活跃值： (279) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 86 粉丝 0 关注私信	yyyang 31 楼我补充两句，不对的地方，望见谅。其实这个技术有一个更通俗的名字，叫内存加载，已经在大量的使用了，无论是木马还是病毒。好处不仅仅是楼主提到的，还有更值得一提的好处，那就是免杀。举个例子：如果dll以源文件形式存在的话，一个exe要通过LoadLibrary加载一个dll文件，杀软便可以对dll文件做静态、动态扫描；如果dll不是以源文件形式存在的话（即dll文件以加密数据形式存在exe文件内部；或以加密文件形式存在），这样就可以给杀软分析造成麻烦，相对应的加载该类型dll的方法，就是内存加载——直接将dll数据解密在内存里，经过一些PE处理后，可以像LoadLibrary一样使用dll。最后于 2018-4-12 15:31 被yyyang编辑，原因： 2018-4-12 15:15 0
卡达雪币： 3 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	卡达 32 楼收藏谢谢分享 2018-4-30 11:44 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 33 楼 yyyang 我补充两句，不对的地方，望见谅。其实这个技术有一个更通俗的名字，叫内存加载，已经在大量的使用了，无论是木马还是病毒。好处不仅仅是楼主提到的，还有更值得一提的好处，那就是免杀。举个例子：如果dll以源文 ... 杀毒引擎对内存加载木马，一点办法都没有吗？ 2018-5-1 15:17 0
superlover 雪币： 10248 活跃值： (4421) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 105 粉丝 1 关注私信	superlover 34 楼感谢楼主分享，正好学习这方面资料。 2018-9-18 10:11 0
wx_Chao 雪币： 1140 活跃值： (266) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	wx_Chao 35 楼研究学习 2020-11-19 10:55 0
Roje 雪币： 89 活跃值： (188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	Roje 36 楼很多老技术都很实用的，感谢老铁分享 2022-12-8 09:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (35) ◀ 1 2
编程小白雪币： 441 活跃值： (1055) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 26 楼点赞！ 2018-1-17 16:48 0
ielts 雪币： 965 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 254 粉丝 1 关注私信	ielts 27 楼支持 2018-1-23 11:39 0
千缕情丝雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	千缕情丝 28 楼 mark 2018-1-25 18:02 0
hayde 雪币： 10 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	hayde 29 楼在哪里都能看见有人说，”这个早就有了“，“这个老技术”，“这个到处都是”，我都怀疑自己是不是地球人了！这样的帖子我第一个支持，反正对我很有帮助就是了！ 2018-2-6 02:39 0
Dascolee 雪币： 33 活跃值： (318) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 25 粉丝 10 关注私信	Dascolee 30 楼支持 2018-4-9 18:01 0
yyyang 雪币： 822 活跃值： (279) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 86 粉丝 0 关注私信	yyyang 31 楼我补充两句，不对的地方，望见谅。其实这个技术有一个更通俗的名字，叫内存加载，已经在大量的使用了，无论是木马还是病毒。好处不仅仅是楼主提到的，还有更值得一提的好处，那就是免杀。举个例子：如果dll以源文件形式存在的话，一个exe要通过LoadLibrary加载一个dll文件，杀软便可以对dll文件做静态、动态扫描；如果dll不是以源文件形式存在的话（即dll文件以加密数据形式存在exe文件内部；或以加密文件形式存在），这样就可以给杀软分析造成麻烦，相对应的加载该类型dll的方法，就是内存加载——直接将dll数据解密在内存里，经过一些PE处理后，可以像LoadLibrary一样使用dll。最后于 2018-4-12 15:31 被yyyang编辑，原因： 2018-4-12 15:15 0
卡达雪币： 3 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	卡达 32 楼收藏谢谢分享 2018-4-30 11:44 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 33 楼 yyyang 我补充两句，不对的地方，望见谅。其实这个技术有一个更通俗的名字，叫内存加载，已经在大量的使用了，无论是木马还是病毒。好处不仅仅是楼主提到的，还有更值得一提的好处，那就是免杀。举个例子：如果dll以源文 ... 杀毒引擎对内存加载木马，一点办法都没有吗？ 2018-5-1 15:17 0
superlover 雪币： 10248 活跃值： (4421) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 105 粉丝 1 关注私信	superlover 34 楼感谢楼主分享，正好学习这方面资料。 2018-9-18 10:11 0
wx_Chao 雪币： 1140 活跃值： (266) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	wx_Chao 35 楼研究学习 2020-11-19 10:55 0
Roje 雪币： 89 活跃值： (188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	Roje 36 楼很多老技术都很实用的，感谢老铁分享 2022-12-8 09:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复