奇技淫巧话病毒-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼好长，好暴力！强帖前留名！ 2008-2-13 14:22 0
Anskya 雪币： 1272 活跃值： (746) 能力值： ( LV13，RANK：810 ) 在线值：发帖 25 回帖 94 粉丝 29 关注私信	Anskya 20 3 楼这不就是传统的Virus吗？有什麽特别的地方吗？代码优化做的很。。。罗云彬BOSS的书看完即可写成。。。看Virus的代码还是看TASM的爽一点。多态，变型，压缩，加密，29A最好的Virus文章这几句是忽悠编译器的。。。 2k下无导入表无法执行。没这几句不成呀一般ExitProcess。。。感觉这代码不地道。总觉的缺少点什么。。。还是学习了。。。那个字符串比较函数写的真强。。。PFPF main: pushad push @@curAddr ;这两句写的好，功能相当于下面的call @@curAddr jmp @@curAddr embedMain: pushad call @@curAddr @@curAddr: mov ebp, [esp] add esp, 4 sub ebp, @@curAddr - main sub ebp, main ;重定位这两句起不到重定位作用吧？ push进去的是硬编码吧。。。不过感染U盘还是学了 2008-2-13 14:51 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 4 楼两们都　走召　弓虽 2008-2-13 16:29 0
GoogleDX 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 0 回帖 101 粉丝 0 关注私信	GoogleDX 5 楼 [QUOTE=Anskya;415812] main: pushad push @@curAddr ;这两句写的好，功能相当于下面的call @@curAddr jmp @@curAddr embedMain: pushad call @@curAddr @@curAddr: mov ebp, [esp] add esp, 4 sub ebp, @@curAddr - main sub ebp, main ;重定位这两句起不到重定位作用吧？ push进去的是硬编码吧。。。 [/QUOTE] 感染到别的exe 之后执行的是下面的call 而不是push/jmp 第一次执行没必要重定位 2008-2-13 16:31 0
StarsunYzL 雪币： 424 活跃值： (1829) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 6 楼支持了，其实感染PE用来做流氓比用来做病毒还爽…… 2008-2-13 16:53 0
GoogleDX 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 0 回帖 101 粉丝 0 关注私信	GoogleDX 7 楼素r，赚了钱去找小姐，搞一夜情更爽。 2008-2-13 17:08 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 8 楼诱惑青少年犯罪..........LZ不厚道 2008-2-13 17:42 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 9 楼修改pe文件的eop,让病毒体代码获取执行权。最普通的PE感染才这么做~ MS描述的这个病毒也没什么奇特的地方啊,普通病毒的共性, 反正俺是没看出来~ 2008-2-13 23:15 0
Anskya 雪币： 1272 活跃值： (746) 能力值： ( LV13，RANK：810 ) 在线值：发帖 25 回帖 94 粉丝 29 关注私信	Anskya 20 10 楼 Hook~~Hook才是王道。。。直接改入口的方法有点过时了 EPO都没有使用这样的Virus估计很难过AV检测。。。 2008-2-14 09:08 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 11 楼路过 2008-2-14 10:27 0
落花满怀雪币： 142 活跃值： (121) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 71 粉丝 0 关注私信	落花满怀 12 楼很黄很暴力~~ 2008-2-15 17:42 0
kanny 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	kanny 13 楼怎么没有源文件提供啊？耍弄！ 2008-2-16 11:13 0
maomaoma 雪币： 256 活跃值： (268) 能力值： ( LV9，RANK：170 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	maomaoma 4 14 楼附件是分析文章还是病毒样本啊在我的机子上运行出错看不到东西，有些紧张啊 2008-2-16 20:05 0
gtboy 雪币： 246 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 212 粉丝 0 关注私信	gtboy 2 15 楼感染的方式不是捆绑而是在原exe文件最后一节上添加内容。修改pe文件的eop,让病毒体代码获取执行权。会不会被主动防御软件报？而且入口点在文件的末尾很另人怀疑（自己的看法）如果能加入动态变形就更好了（我不知道它的学名叫什么，对抗杀毒的特征码），在邪恶八进制上面有个源码，大牛门可以去看看，嘿嘿要写就要写最bt的 2008-2-18 09:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 2 楼好长，好暴力！强帖前留名！ 2008-2-13 14:22 0
Anskya 雪币： 1272 活跃值： (746) 能力值： ( LV13，RANK：810 ) 在线值：发帖 25 回帖 94 粉丝 29 关注私信	Anskya 20 3 楼这不就是传统的Virus吗？有什麽特别的地方吗？代码优化做的很。。。罗云彬BOSS的书看完即可写成。。。看Virus的代码还是看TASM的爽一点。多态，变型，压缩，加密，29A最好的Virus文章这几句是忽悠编译器的。。。 2k下无导入表无法执行。没这几句不成呀一般ExitProcess。。。感觉这代码不地道。总觉的缺少点什么。。。还是学习了。。。那个字符串比较函数写的真强。。。PFPF main: pushad push @@curAddr ;这两句写的好，功能相当于下面的call @@curAddr jmp @@curAddr embedMain: pushad call @@curAddr @@curAddr: mov ebp, [esp] add esp, 4 sub ebp, @@curAddr - main sub ebp, main ;重定位这两句起不到重定位作用吧？ push进去的是硬编码吧。。。不过感染U盘还是学了 2008-2-13 14:51 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 4 楼两们都　走召　弓虽 2008-2-13 16:29 0
GoogleDX 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 0 回帖 101 粉丝 0 关注私信	GoogleDX 5 楼 [QUOTE=Anskya;415812] main: pushad push @@curAddr ;这两句写的好，功能相当于下面的call @@curAddr jmp @@curAddr embedMain: pushad call @@curAddr @@curAddr: mov ebp, [esp] add esp, 4 sub ebp, @@curAddr - main sub ebp, main ;重定位这两句起不到重定位作用吧？ push进去的是硬编码吧。。。 [/QUOTE] 感染到别的exe 之后执行的是下面的call 而不是push/jmp 第一次执行没必要重定位 2008-2-13 16:31 0
StarsunYzL 雪币： 424 活跃值： (1829) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 6 楼支持了，其实感染PE用来做流氓比用来做病毒还爽…… 2008-2-13 16:53 0
GoogleDX 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 0 回帖 101 粉丝 0 关注私信	GoogleDX 7 楼素r，赚了钱去找小姐，搞一夜情更爽。 2008-2-13 17:08 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 8 楼诱惑青少年犯罪..........LZ不厚道 2008-2-13 17:42 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 9 楼修改pe文件的eop,让病毒体代码获取执行权。最普通的PE感染才这么做~ MS描述的这个病毒也没什么奇特的地方啊,普通病毒的共性, 反正俺是没看出来~ 2008-2-13 23:15 0
Anskya 雪币： 1272 活跃值： (746) 能力值： ( LV13，RANK：810 ) 在线值：发帖 25 回帖 94 粉丝 29 关注私信	Anskya 20 10 楼 Hook~~Hook才是王道。。。直接改入口的方法有点过时了 EPO都没有使用这样的Virus估计很难过AV检测。。。 2008-2-14 09:08 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 11 楼路过 2008-2-14 10:27 0
落花满怀雪币： 142 活跃值： (121) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 71 粉丝 0 关注私信	落花满怀 12 楼很黄很暴力~~ 2008-2-15 17:42 0
kanny 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	kanny 13 楼怎么没有源文件提供啊？耍弄！ 2008-2-16 11:13 0
maomaoma 雪币： 256 活跃值： (268) 能力值： ( LV9，RANK：170 ) 在线值：发帖 12 回帖 59 粉丝 0 关注私信	maomaoma 4 14 楼附件是分析文章还是病毒样本啊在我的机子上运行出错看不到东西，有些紧张啊 2008-2-16 20:05 0
gtboy 雪币： 246 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 212 粉丝 0 关注私信	gtboy 2 15 楼感染的方式不是捆绑而是在原exe文件最后一节上添加内容。修改pe文件的eop,让病毒体代码获取执行权。会不会被主动防御软件报？而且入口点在文件的末尾很另人怀疑（自己的看法）如果能加入动态变形就更好了（我不知道它的学名叫什么，对抗杀毒的特征码），在邪恶八进制上面有个源码，大牛门可以去看看，嘿嘿要写就要写最bt的 2008-2-18 09:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复