[Anti Virus专题]1.7 - 打造DLL内存加载引擎.-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[Anti Virus专题]1.7 - 打造DLL内存加载引擎.

2009-6-1 19:02 55851

[Anti Virus专题]1.7 - 打造DLL内存加载引擎.

xfish

2009-6-1 19:02

55851

查看主题内容

收藏・66

点赞・7

打赏

最新回复 (60) ◀ 1 2 3 ▶
himcrack 雪币： 264 活跃值： (11) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 194 粉丝 1 关注私信	himcrack 6 2009-6-4 18:38 26 楼 0 学习一下重定位的处理..感谢小鱼儿
nimda 雪币： 197 活跃值： (52) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 56 粉丝 1 关注私信	nimda 1 2009-6-5 15:27 27 楼 0 这东西也只能给病毒用了。。。。多写点反病毒的行不？
君君寒雪币： 6090 活跃值： (599) 能力值： ( LV4，RANK：45 ) 在线值：发帖 73 回帖 1056 粉丝 0 关注私信	君君寒 2009-6-6 01:43 28 楼 0 这种病毒由来已久，但是木马是最近采用的这个技术，现在采用的不多，不过一旦这个VC代码公布出来马上就是一场浩劫，比如当初的熊猫烧香，为了广大的网民这些东西最好不要被滥用。
loqich 雪币： 962 活跃值： (1541) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 643 粉丝 0 关注私信	loqich 2009-6-6 06:57 29 楼 0 论坛早有这个VC代码.而且是很久以前就有了`` http://bbs.pediy.com/showthread.php?t=27134&highlight=peloader
likunkun 雪币： 334 活跃值： (17) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 284 粉丝 1 关注私信	likunkun 1 2009-6-6 15:45 30 楼 0 nimda说的对，我也期待反病毒关注反（病毒反虚拟机技术）技术。
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 44 回帖 769 粉丝 3 关注私信	jackozoo 14 2009-6-6 16:27 31 楼 0 我相信小鱼在出完virus编写系列之后就会有好东西放出来的, 期待小鱼
vima 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vima 2009-6-6 17:53 32 楼 0 现在好象有些这样的东西~~
yanliwenwe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yanliwenwe 2009-6-9 09:57 33 楼 0 goooooooooooooooood
liyebin 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	liyebin 2009-6-9 21:34 34 楼 0 .....楼主因为当兵的原因，好久没看文章了，弱弱地问下:能告诉我你的asm是用什么编译器的吗？？
ZSYL 雪币： 16 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 2009-6-17 19:56 35 楼 0 楼主用的什么编译器?
ZSYL 雪币： 16 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 2009-6-17 19:59 36 楼 0 fasm....
shenerming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	shenerming 2009-6-17 20:27 37 楼 0 学习了，感觉和做加载器的思路是一样的，希望LZ能做一个完整的加载器出来
lingfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lingfly 2009-6-17 21:28 38 楼 0 很想知道, GetModuleHandle, 么子调用??,
黄庆南雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 0 关注私信	黄庆南 2009-6-17 21:39 39 楼 0 支持一下，这是好东西，下载学习了。谢谢！
大道自然雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	大道自然 2009-7-1 15:09 40 楼 0 关键是处理不了MFC的运行时库啊
artspring 雪币： 207 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	artspring 2009-7-2 21:53 41 楼 0 注释有点少,看得有点晕.
网络幽灵雪币： 233 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	网络幽灵 2009-7-20 13:09 42 楼 0 感谢楼主的好文。下来看看，试试效果。如果有人翻译成c++就好了，鄙人不会汇编
网络幽灵雪币： 233 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	网络幽灵 2009-7-20 13:11 43 楼 0 LoadMemDll.exe 运行后提示错误对话框，然后提示内存不能读写
chzhn 雪币： 170 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 66 粉丝 0 关注私信	chzhn 2 2009-8-3 22:29 44 楼 0 给一个网址，用的是C++写的Dll内存加载，相比小鱼的好懂一些，真羡慕小鱼的汇编技术，我什么时候能达到这个程度啊。 http://fancycode.com/viewcvs/MemoryModule/trunk/
daheshan 雪币： 171 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	daheshan 2009-8-17 15:08 45 楼 0 wo使劲顶顶破头
serverking 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	serverking 2009-8-17 15:58 46 楼 0 虽然现在看得不是很懂，还是挺佩服的....
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 2009-8-30 18:42 47 楼 0 没什么大的意义啊，load dll from memmory,那么这个loader还是一样被查杀。
玩命雪币： 7115 活跃值： (644) 能力值： (RANK：1290 ) 在线值：发帖 58 回帖 455 粉丝 66 关注私信	玩命 31 2009-8-30 20:31 48 楼 0 跑过来支持X鱼。。。 dll loader只是执行病毒自身需求的代码就可以。不需要考虑兼容那么多。。。
yikuaidao 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	yikuaidao 2009-10-5 10:20 49 楼 0 好象在win7下不能运行
fitmaster 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fitmaster 2009-10-8 23:29 50 楼 0 编译一下，应该可以，用VS2005编译
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

xfish

发帖

115

回帖

220

RANK

关注

私信

他的文章

[推荐]黑客防线月刊2期征稿

[Anti Virus专题]1.7 - 打造DLL内存加载引擎.

[Anti Virus专题]长度反汇编引擎的打造

[Anti Virus专题]1.2 - 4.PE结构、SEH相关知识掌握

[Anti Virus专题]1.2 - 3.hash扫描获得api函数地址

关于我们

联系我们

企业服务

看雪公众号

最新回复 (60) ◀ 1 2 3 ▶
himcrack 雪币： 264 活跃值： (11) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 194 粉丝 1 关注私信	himcrack 6 2009-6-4 18:38 26 楼 0 学习一下重定位的处理..感谢小鱼儿
nimda 雪币： 197 活跃值： (52) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 56 粉丝 1 关注私信	nimda 1 2009-6-5 15:27 27 楼 0 这东西也只能给病毒用了。。。。多写点反病毒的行不？
君君寒雪币： 6090 活跃值： (599) 能力值： ( LV4，RANK：45 ) 在线值：发帖 73 回帖 1056 粉丝 0 关注私信	君君寒 2009-6-6 01:43 28 楼 0 这种病毒由来已久，但是木马是最近采用的这个技术，现在采用的不多，不过一旦这个VC代码公布出来马上就是一场浩劫，比如当初的熊猫烧香，为了广大的网民这些东西最好不要被滥用。
loqich 雪币： 962 活跃值： (1541) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 643 粉丝 0 关注私信	loqich 2009-6-6 06:57 29 楼 0 论坛早有这个VC代码.而且是很久以前就有了`` http://bbs.pediy.com/showthread.php?t=27134&highlight=peloader
likunkun 雪币： 334 活跃值： (17) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 284 粉丝 1 关注私信	likunkun 1 2009-6-6 15:45 30 楼 0 nimda说的对，我也期待反病毒关注反（病毒反虚拟机技术）技术。
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 44 回帖 769 粉丝 3 关注私信	jackozoo 14 2009-6-6 16:27 31 楼 0 我相信小鱼在出完virus编写系列之后就会有好东西放出来的, 期待小鱼
vima 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	vima 2009-6-6 17:53 32 楼 0 现在好象有些这样的东西~~
yanliwenwe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yanliwenwe 2009-6-9 09:57 33 楼 0 goooooooooooooooood
liyebin 雪币： 125 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	liyebin 2009-6-9 21:34 34 楼 0 .....楼主因为当兵的原因，好久没看文章了，弱弱地问下:能告诉我你的asm是用什么编译器的吗？？
ZSYL 雪币： 16 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 2009-6-17 19:56 35 楼 0 楼主用的什么编译器?
ZSYL 雪币： 16 活跃值： (330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 198 粉丝 0 关注私信	ZSYL 2009-6-17 19:59 36 楼 0 fasm....
shenerming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	shenerming 2009-6-17 20:27 37 楼 0 学习了，感觉和做加载器的思路是一样的，希望LZ能做一个完整的加载器出来
lingfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lingfly 2009-6-17 21:28 38 楼 0 很想知道, GetModuleHandle, 么子调用??,
黄庆南雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 0 关注私信	黄庆南 2009-6-17 21:39 39 楼 0 支持一下，这是好东西，下载学习了。谢谢！
大道自然雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	大道自然 2009-7-1 15:09 40 楼 0 关键是处理不了MFC的运行时库啊
artspring 雪币： 207 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	artspring 2009-7-2 21:53 41 楼 0 注释有点少,看得有点晕.
网络幽灵雪币： 233 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	网络幽灵 2009-7-20 13:09 42 楼 0 感谢楼主的好文。下来看看，试试效果。如果有人翻译成c++就好了，鄙人不会汇编
网络幽灵雪币： 233 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	网络幽灵 2009-7-20 13:11 43 楼 0 LoadMemDll.exe 运行后提示错误对话框，然后提示内存不能读写
chzhn 雪币： 170 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 66 粉丝 0 关注私信	chzhn 2 2009-8-3 22:29 44 楼 0 给一个网址，用的是C++写的Dll内存加载，相比小鱼的好懂一些，真羡慕小鱼的汇编技术，我什么时候能达到这个程度啊。 http://fancycode.com/viewcvs/MemoryModule/trunk/
daheshan 雪币： 171 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	daheshan 2009-8-17 15:08 45 楼 0 wo使劲顶顶破头
serverking 雪币： 222 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	serverking 2009-8-17 15:58 46 楼 0 虽然现在看得不是很懂，还是挺佩服的....
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 2009-8-30 18:42 47 楼 0 没什么大的意义啊，load dll from memmory,那么这个loader还是一样被查杀。
玩命雪币： 7115 活跃值： (644) 能力值： (RANK：1290 ) 在线值：发帖 58 回帖 455 粉丝 66 关注私信	玩命 31 2009-8-30 20:31 48 楼 0 跑过来支持X鱼。。。 dll loader只是执行病毒自身需求的代码就可以。不需要考虑兼容那么多。。。
yikuaidao 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	yikuaidao 2009-10-5 10:20 49 楼 0 好象在win7下不能运行
fitmaster 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fitmaster 2009-10-8 23:29 50 楼 0 编译一下，应该可以，用VS2005编译
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复