摘要： 前段时间,我在网上下载了一个3D游戏,想要玩的时候却被提示需要将IE的主页设置为特定的网址才能玩这个游戏.对于我这种有"系统洁癖"的人来说,最反感的就是这种要求,用Peid查了下,发现没有加壳,一路跟下来,发现这个程序也提供了一种病毒感染的思路,那就是资源感染,既将宿主程序作为病毒程序的一个资源保存,将附加了宿主程序资源的病毒程序覆盖原宿主程序,在打开病毒程序时,病毒发作同时将宿主程序释放出来,运行之.这个3D游戏的反汇编片段:view plaincopy to clipboardprint?/**************************************** 阅读全文

摘要： 从(一)中建立了初步的注入代码后,需要把用来占位的11223344H改为相应的地址,用一个函数来完成.view plaincopy to clipboardprint?//OEP是从PE头中得到的程序入口点,VEP是病毒注入的起始位置,ImageBase是文件基址intBuildInjectCode(DWORDOEP,DWORDVEP,DWORDImageBase){unsignedchar*p=InjectCode;*(DWORD*)(p+1)=VEP+ImageBase+0x2B;//SEH处理程序地址*(DWORD*)(p+15)=ImageBase+0x53;//病毒名,这里我写在了P 阅读全文

摘要： http://blog.csdn.net/GaA_Ra/archive/2010/06/27/5697579.aspx在我看来,感染型病毒才是真正称得上为病毒,因为感染型病毒的手动清除比较困难,大学的时候,帮同学杀毒最烦躁的就是碰上感染型的病毒,除非写一个程序自动处理,不然手动清除是相当麻烦的.当然我所谓的真正病毒主要是在我看来,能够轻易用手工清除的病毒都不是好的病毒.现在病毒制造者追求的是快速的传播速度,而忽略了病毒的"顽固性",一个木马简单的就使用一个启动的注册表项显然在清理上太方便了,甚至可以进安全模式删了注册表项,连病毒尸体都可以无视,这样就已经不能发挥作用了. 随 阅读全文