免杀
关注
分享
扫一扫
文章平均质量分 72
Traxer
这个作者很懒,什么都没留下…
展开
-
《黑客免杀攻防学习笔记》——免杀与特征码
以下图片均来自《黑客免杀攻防》若有侵权,请告知,我将最快删除。转载请注明出处。1.特征码免杀技术 这里主要是用到分割法,就是将一份病毒文件分割成多份让反病毒软件扫描,然后再将扫描出有问题的那份文件再次分割,直到分割到长度适合为止。如下图所示:若是获得合适的文件之后,再将这份文件进行相应的处理,比如可以添加一些花指令等代码混淆技术。因为许多杀毒软件进行查杀都是原创 2013-12-17 17:00:15 · 1858 阅读 · 1 评论 -
《黑客免杀攻防学习笔记》——C++设计一个简单的壳2
本文中的代码均来自《黑客免杀攻防》,如要转载,需写明来源,请勿用于非法用途,作者对此文章中的代码造成的任何后果不负法律责任。本文接上一篇简单的壳1.2.加壳部分 写这个部分的时候我自己对于这部分的代码也没有做到很熟悉,因为这部分相对于前一部分来说复杂了许多,后面就会看见。所以我也是通过再次巩固来进一步理解加壳的基本步骤。废话不多说,首先还是从声明部分说起。对了在这之前,最好原创 2013-12-23 13:16:38 · 2930 阅读 · 3 评论 -
《黑客免杀攻防学习笔记》——C++设计一个简单的壳1
本文中的代码均来自《黑客免杀攻防》,如要转载,需写明来源,请勿用于非法用途,作者对此文章中的代码造成的任何后果不负法律责任。看了一遍书本的第11章,感觉内容确实比较高级,之前虽然自认为是热衷于搞C/C++开发,但是运用windows API的开发真的是太少了。先来看看一个简单的壳的编写。 这个加壳脱壳程序分为三部分,首先是用MFC写的界面程序,这个自然不用多说,主要功能就是原创 2013-12-23 13:14:50 · 3639 阅读 · 0 评论 -
《黑客免杀攻防学习笔记》——MFC初探
转载请注明出处http://blog.youkuaiyun.com/wuyangbotianshi注:下面文章中谈到的作者都是《黑客免杀攻防》的作者,并不是本文的作者。由于之前的C++逆向知识比较简单,所以第9章就只记录两个实验,一个就是这个初探MFC实验,另外一个就是探索C++的菱形继承。1.MFC基础 逆向具有MFC框架的程序并不一定要跟踪MFC框架代码,是否需要这样做取决原创 2013-12-21 09:39:00 · 3530 阅读 · 0 评论 -
《黑客免杀攻防学习笔记》——C++继承与虚函数机制
转载请注明出处。这是这本书中关于逆向C++的唯一一篇总结,前面的基础知识由于去年已经学习过了钱林松老师的《C++反汇编与逆向分析技术》并做了笔记所以就只是看了一下,发现内容大同小异,不过看过一遍之后也温习了一下C++逆向的基础知识,对于下面的这个菱形继承的实验还是有帮助的。并且之前在学习钱老师的书的时候并没有给继承以及虚函数机制写过总结,这篇就当作是C++逆向系列的补充吧。原创 2013-12-20 11:09:59 · 1223 阅读 · 0 评论 -
《黑客免杀攻防学习笔记》——自己认为书上的错误
这只是个人见解,并不代表就有错误。转载请说明出处。1.P138表7-13 展开数据标识位书上差不多是这样的: UNW_FLAG_EHANDLER0x1The function has an exception handler that should be called.UNW_FLAG_UHANDLER0x原创 2013-12-18 17:06:06 · 2270 阅读 · 0 评论 -
《黑客免杀攻防学习笔记》——PE文件结构1
文章中的图片大部分为自己做截屏,少量摘自网络,若有侵权请及时告知,我会尽快删除。转载请注明出处。1.MS-DOS头 DOS头主要就是为了兼容之前的DOS操作系统,DOS头后面便是DOS Stub,这两部分构成了MS-DOS可执行文件的基本要素,如果PE文件运行在DOS系统中便会执行Stub中的代码,一般上都是“Thisprogram cannot run in DOS原创 2013-12-17 17:09:16 · 1763 阅读 · 0 评论 -
《黑客免杀攻防学习笔记》——反病毒软件与免杀原理
1.反病毒软件原理与反病毒技术介绍1.1反病毒软件工作原理反病毒软件一般由扫描器、病毒库与虚拟机组成,并由主程序将他们整合在一起。扫描器用于查杀病毒,大多数反病毒软件基本都由多个扫描器组成,病毒库存储着特征码,存储形式取决于使用的扫描器,虚拟机相当于沙盒。1.2基于文件扫描的反病毒技术可分为“第一代扫描技术”、“第二代扫描技术”和“算法扫描”3种。下面就先简要介绍一下这三种扫描技术原创 2013-12-17 16:38:41 · 1500 阅读 · 0 评论 -
《黑客免杀攻防学习笔记》——PE文件结构3
文章中的图片大部分为自己做截屏,少量摘自网络,若有侵权请及时告知,我会尽快删除。转载请注明出处。接上一篇,上一篇了解了一些常用的结构的基本结构,这一篇从异常结构开始学习。7.异常 PE文件中的异常目录用于描述异常处理函数、SEH地址等信息,存储于.pdata 段内,数据目录项的第四项指向结构的RVA。异常处理和处理器平台有关,所以书上是用64位处理器的平台作原创 2013-12-17 18:04:09 · 1296 阅读 · 0 评论 -
《黑客免杀攻防学习笔记》——PE文件结构2
文章中的图片大部分为自己做截屏,少量摘自网络,若有侵权请及时告知,我会尽快删除。转载请注明出处。接上一篇,上一篇了解了PE头及可选头的基本结构,这一篇从区段表开始学习。3.区段表 PE文件头后面是区段表,用于描述各个区段的属性,文件至少拥有一个区段才能执行。区段表是多个相连的IMAGE_SECTION_HEADER结构组成。3.1IMAGE_SECTION_原创 2013-12-17 17:58:18 · 1442 阅读 · 0 评论 -
《黑客免杀攻防学习笔记》——小结
《黑客免杀攻防》看得差不多了,关于诸如花指令等其他免杀技术以及Rootkit的内容没有看。Rootkit另外买了一本书,想着两部分结合在一起看效果可能会好一些。这里就针对自己看过的一些内容做一下总结。 总的来说这本书需要C++、汇编、数据结构、内核等多方面的知识才能理解透彻,而内核方面自己没有接触过,也就暂时一放。书的前面几张分别介绍了包括防病毒软件、免杀基础知识和技术等,没有原创 2013-12-24 16:23:52 · 1501 阅读 · 1 评论