能力值:
( LV6,RANK:90 )
|
-
-
2 楼
《1》病毒分析文档
注入所有进程,
HOOK
ZwCreateFile
ZwOpenFile
ZwCreateProcess
ZwCreateProcessEx
当执行到时就将路径的文件感染。
在winlogon进程创建远程线程调用sfc2号函数关闭文件保护。
回到OEP执行原文件代码。
《2》处理该病毒的思路及程序设计思路文档
先还原内存中的HOOK
然后查询硬盘中的EXE文件,有love或evol标记则杀毒
通过反汇编引擎得到代码解密算法,将代码解密,得到常数,计算OEP,如需要恢复stolen code则先恢复代码,再改掉OEP,关闭文件。
~~~
没了。
|
能力值:
( LV6,RANK:90 )
|
-
-
3 楼
再次提交 解决方案+可执行文件+源代码。
|
能力值:
( LV6,RANK:90 )
|
-
-
4 楼
再次提交,修正了错误的过滤PE文件中GUI_SUBSYSTEM标志的判断。
|
能力值:
( LV6,RANK:90 )
|
-
-
5 楼
再次提交,
修正了
1。当扫描NET类(或其他)程序时对多层病毒的错误判断导致崩溃的BUG。
2。程序退出时的BUG。
|
能力值:
( LV9,RANK:210 )
|
-
-
6 楼
赞一个
考虑的东西很全面呢
这个题目看起来挺复杂的
|
能力值:
( LV6,RANK:90 )
|
-
-
7 楼
很失败,去掉love标志就完美了。
|
能力值:
( LV9,RANK:290 )
|
-
-
8 楼
难得难得!
很好!
很强大! 
|
|
|
|
