能力值:
( LV9,RANK:490 )
|
-
-
26 楼
病毒没研究:)
|
能力值:
( LV3,RANK:30 )
|
-
-
27 楼
太深入了,我等菜鸟只能捧个场了
|
能力值:
( LV2,RANK:10 )
|
-
-
28 楼
以我现在的水平,还是看不懂,先收藏
|
能力值:
( LV2,RANK:10 )
|
-
-
29 楼
好文章,楼主辛苦.
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
这里用CRC校验是可以的,不过CRC和hash的目的还是不同的,CRC用于检测r+1bit内的信息错误,CRC可以认为是对近似比特序列的差异敏感。假定某个bit序列n1, 以及另外一个完全不相关的bit序列n2,他们的CRC数值相同,这对于CRC校验来说是完全可以接受的,因为n1变化到n2恰好属于错误bit数目>r+1的那种小概率事件(这种情况在网络传输中可以忽略),n1和n2各自使用事实上相同CRC来检验其bit序列的正确性,而不会带来任何后果。但是对于hash,这种情况就造成了一次碰撞。因此,就我看来,用CRC代替hash不是不可以,CRC实际上可以认为是一种hash函数,不过,我们可能会有更好的hash函数可以选择, 用一种仔细选择的hash函数, 可能会产生更少的碰撞.
个人一点浅见.
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
不用暴力搜索的话内存加载的Dll就搜不到了
|
能力值:
( LV2,RANK:10 )
|
-
-
32 楼
大力支持 希望你多发点
|
能力值:
( LV13,RANK:530 )
|
-
-
33 楼
这个方法对Vista 已经没有用了.  vista 是ntdll 了 而不是kernel32
|
能力值:
( LV9,RANK:610 )
|
-
-
34 楼
楼上说的很对,我觉得楼主的方法有点问题,我自己对病毒没什么兴趣,因为,写病毒的人和他们的品德一样不高,能写病毒而不写的人,那才叫高人。:)
楼主通常都会用0x7C800000做为kernel.dll的基地址,但是,随着版本的不同也会不同,希望楼主用GetModuleHandle获取会好点:
VISTA的KERNEL.EXE已经变为77E了哦:
00000222 77E44120 GetProcAddress
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
不同意楼上的说法,不能说写病毒的人都品行不高.不写过病毒又怎能"能写"病毒而不写呢,?事物两面,研究病毒是理解计算机底层好方法.
|
能力值:
( LV6,RANK:90 )
|
-
-
36 楼
为什么每次要sub esi,10000h
IA32 规定4k一页 应该是1000h,这样才是一页一页的搜索啦??
我还是没想懂!!望路过的知之者解释哈。谢
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
其实罗云彬那本 windows下汇编语言就有关于搜索api的有关代码,好象不用上面那么累
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
的确不错,值得学习,好好研究
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
辛苦拉,专心考研拉
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
有难度啊。
我还要学习几年来看
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
2楼的xlib.inc 如何用呀?我看得不是很明,哪位说说?
是不是
include xlib.inc
initX XFL_MAX, "user32", "ntdll"
之后,就可以调用user32 ntdll 里的函数了?不用知道函数的地址么?
getx 作用是什么?
|
能力值:
( LV2,RANK:10 )
|
-
-
42 楼
纯学习来的,牛啊
|
能力值:
( LV2,RANK:10 )
|
-
-
43 楼
菜菜,学习了、、、支持
|
能力值:
( LV2,RANK:10 )
|
-
-
44 楼
先做小牛 在做大牛
|
|
|
|
