[原创]PE感染型病毒的研究和代码实现，附上代码和论文-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]PE感染型病毒的研究和代码实现，附上代码和论文 0.00雪花

发表于: 2009-5-9 13:49 133551

[旧帖] [原创]PE感染型病毒的研究和代码实现，附上代码和论文 0.00雪花

jmpjerryy

2009-5-9 13:49

133551

查看主题内容

收藏・139

免费・9

支持

最新回复 (176) ◀ 1 2 3 4 5 6 7 8 ▶
luhputu 雪币： 573 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	luhputu 51 楼收藏了。谢谢楼主 2009-6-3 21:46 0
conanlocke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	conanlocke 52 楼很不错，学习了 2009-6-8 09:55 0
xiaoak 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	xiaoak 53 楼好东西,,另存了,,,, 2009-6-8 14:34 0
netbat 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	netbat 54 楼写的非常好，大赞 2009-6-9 12:38 0
olsxh 雪币： 1072 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 101 粉丝 0 关注私信	olsxh 55 楼好文章，先拷下来，再慢慢研究! 2009-6-11 17:20 0
wind风雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	wind风 56 楼果然很强大啊，谢谢分享 2009-6-11 17:32 0
kupig 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 54 粉丝 0 关注私信	kupig 57 楼病毒能被你搞成这样也算牛了 2009-6-11 17:49 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 58 楼末节表与首节间空隙不足的情况未考虑通过PEB_LDR_DATA定位kerne32基址会更高效不过仍不失为一篇好文章~~ 2009-6-11 21:18 0
吹雪雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	吹雪 59 楼纸上得来终觉浅,绝知此事要躬行。 2009-6-12 05:57 0
yhxxbb 雪币： 89 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	yhxxbb 60 楼支持下，顶一个 2009-6-12 13:37 0
kavern 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	kavern 61 楼学习了。。。。 2009-6-12 14:50 0
basketmn 雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	basketmn 62 楼谢谢了，写得太好了 2009-6-12 18:27 0
zofuthan 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	zofuthan 63 楼好好拜读，谢谢楼主！！ 2009-6-12 20:36 0
liuxunshou 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	liuxunshou 64 楼最近也想写一个PE感染的程序，看了你的帖子，受益匪浅啊 2009-7-12 16:59 0
hackhaa 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	hackhaa 65 楼原理是看懂了，只是不知道怎么写 2009-7-12 20:03 0
suiyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	suiyi 66 楼高人啊，一看就相当的专业。 2009-7-12 22:41 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 67 楼千里之外特地来膜拜楼主 2009-9-5 22:35 0
丢丢熊雪币： 94 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	丢丢熊 68 楼对文中找kernel.dll基址的方法不是很明白 2009-9-6 21:28 0
xxxtangwen 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	xxxtangwen 69 楼师傅领进门，修行靠个人 2009-9-6 22:40 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 70 楼好东西，努力学习 2009-9-6 23:32 0
jmpjerryy 雪币： 339 活跃值： (29) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 122 粉丝 2 关注私信	jmpjerryy 2 71 楼搜索kernel32.dll的基地址多种多样。好像现在大多数人都用PEB里面的模块加载的那个链表。你也可以采用。这里的方法是 1 首先程序载入进入到Entrypoint执行前，观察栈顶，这个是在kernel32.dll空间里面的。 2 向回搜索，由于模块加载到内存会对齐的如（7c800000）所以模块后三位不为000跳过 3 如果满足，则查看ImageBase偏移处是否跟当前的所谓的基地址相同。是则找到。当然你也可以逐块（1000h）向回搜索，会快一些。这里是字节的比较慢。 2009-9-7 12:57 0
zjw 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	zjw 72 楼人心不古谢谢分享 2009-9-11 17:08 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 73 楼好好利用。。。。 2009-9-11 17:59 0
Skyforce 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	Skyforce 74 楼楼主是真正做学问的人啊！ 2009-9-13 15:07 0
caixingxin 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	caixingxin 75 楼谢谢分享。。先收藏了。。有时间再年地。 2009-9-13 16:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jmpjerryy

发帖

122

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (176) ◀ 1 2 3 4 5 6 7 8 ▶
luhputu 雪币： 573 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	luhputu 51 楼收藏了。谢谢楼主 2009-6-3 21:46 0
conanlocke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	conanlocke 52 楼很不错，学习了 2009-6-8 09:55 0
xiaoak 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	xiaoak 53 楼好东西,,另存了,,,, 2009-6-8 14:34 0
netbat 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	netbat 54 楼写的非常好，大赞 2009-6-9 12:38 0
olsxh 雪币： 1072 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 101 粉丝 0 关注私信	olsxh 55 楼好文章，先拷下来，再慢慢研究! 2009-6-11 17:20 0
wind风雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	wind风 56 楼果然很强大啊，谢谢分享 2009-6-11 17:32 0
kupig 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 54 粉丝 0 关注私信	kupig 57 楼病毒能被你搞成这样也算牛了 2009-6-11 17:49 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 58 楼末节表与首节间空隙不足的情况未考虑通过PEB_LDR_DATA定位kerne32基址会更高效不过仍不失为一篇好文章~~ 2009-6-11 21:18 0
吹雪雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	吹雪 59 楼纸上得来终觉浅,绝知此事要躬行。 2009-6-12 05:57 0
yhxxbb 雪币： 89 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	yhxxbb 60 楼支持下，顶一个 2009-6-12 13:37 0
kavern 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	kavern 61 楼学习了。。。。 2009-6-12 14:50 0
basketmn 雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	basketmn 62 楼谢谢了，写得太好了 2009-6-12 18:27 0
zofuthan 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	zofuthan 63 楼好好拜读，谢谢楼主！！ 2009-6-12 20:36 0
liuxunshou 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	liuxunshou 64 楼最近也想写一个PE感染的程序，看了你的帖子，受益匪浅啊 2009-7-12 16:59 0
hackhaa 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	hackhaa 65 楼原理是看懂了，只是不知道怎么写 2009-7-12 20:03 0
suiyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	suiyi 66 楼高人啊，一看就相当的专业。 2009-7-12 22:41 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 67 楼千里之外特地来膜拜楼主 2009-9-5 22:35 0
丢丢熊雪币： 94 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	丢丢熊 68 楼对文中找kernel.dll基址的方法不是很明白 2009-9-6 21:28 0
xxxtangwen 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	xxxtangwen 69 楼师傅领进门，修行靠个人 2009-9-6 22:40 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 70 楼好东西，努力学习 2009-9-6 23:32 0
jmpjerryy 雪币： 339 活跃值： (29) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 122 粉丝 2 关注私信	jmpjerryy 2 71 楼搜索kernel32.dll的基地址多种多样。好像现在大多数人都用PEB里面的模块加载的那个链表。你也可以采用。这里的方法是 1 首先程序载入进入到Entrypoint执行前，观察栈顶，这个是在kernel32.dll空间里面的。 2 向回搜索，由于模块加载到内存会对齐的如（7c800000）所以模块后三位不为000跳过 3 如果满足，则查看ImageBase偏移处是否跟当前的所谓的基地址相同。是则找到。当然你也可以逐块（1000h）向回搜索，会快一些。这里是字节的比较慢。 2009-9-7 12:57 0
zjw 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	zjw 72 楼人心不古谢谢分享 2009-9-11 17:08 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 73 楼好好利用。。。。 2009-9-11 17:59 0
Skyforce 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	Skyforce 74 楼楼主是真正做学问的人啊！ 2009-9-13 15:07 0
caixingxin 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	caixingxin 75 楼谢谢分享。。先收藏了。。有时间再年地。 2009-9-13 16:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复