首页
社区
课程
招聘
[原创]Three to one
发表于: 2007-9-14 18:48 19071

[原创]Three to one

2007-9-14 18:48
19071
收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 226
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
《1》病毒分析文档
注入所有进程,
HOOK
ZwCreateFile
ZwOpenFile
ZwCreateProcess
ZwCreateProcessEx
当执行到时就将路径的文件感染。
在winlogon进程创建远程线程调用sfc2号函数关闭文件保护。
回到OEP执行原文件代码。
《2》处理该病毒的思路及程序设计思路文档
先还原内存中的HOOK
然后查询硬盘中的EXE文件,有love或evol标记则杀毒
通过反汇编引擎得到代码解密算法,将代码解密,得到常数,计算OEP,如需要恢复stolen code则先恢复代码,再改掉OEP,关闭文件。

~~~
没了。
2007-9-14 19:32
0
雪    币: 226
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
再次提交 解决方案+可执行文件+源代码。
上传的附件:
2007-9-17 11:39
0
雪    币: 226
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
再次提交,修正了错误的过滤PE文件中GUI_SUBSYSTEM标志的判断。
上传的附件:
2007-9-18 18:33
0
雪    币: 226
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
再次提交,
修正了
1。当扫描NET类(或其他)程序时对多层病毒的错误判断导致崩溃的BUG。
2。程序退出时的BUG。
上传的附件:
2007-9-18 20:36
0
雪    币: 328
活跃值: (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
6
赞一个

考虑的东西很全面呢

这个题目看起来挺复杂的
2007-10-14 10:43
0
雪    币: 226
活跃值: (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
很失败,去掉love标志就完美了。
2007-10-14 12:30
0
雪    币: 112
活跃值: (16)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
8
难得难得!
很好!
很强大!
2007-10-23 13:13
0
游客
登录 | 注册 方可回帖
返回
//