病毒编写 - 溯源碟神 - 51CTO技术博客-领先的IT技术博客

cy051799 的BLOG

博客统计信息

用户名：cy051799
文章数：30
评论数：13
访问量：10292
无忧币：349
博客积分：284
博客等级：2
注册日期：2006-12-28

友情链接

博客大管家小废物

背景音乐

我的音乐	00:00 \| 00:00

51CTO推荐博客

kingkui	hz68
Deidara	zhouhaipeng
redwolf_79	colderboy
剑了	greater
孙永杰	tiger506
huiwh	zhangyxc

一听

top单曲

top单曲

雅虎

网易

文章

文章列表>>

编程

2008-06-03 21:24:45

二、被感染文件中加入的内容及其行为分析
程序被感染后，加入一个.WIN节，入口点指向其中
最前面0C5的内容是“数据区”，其中可明显看出有意义的部分，包括以下内容（以下地址为相对.WIN节头的偏移）：
***************************************************************************************************
1. 预留空间保存变量（在被感染程序运行时，先运行的代码会向这部分写入数据）
+00H   urlmon的基址
+04H   GetProcAddress函数地址
+08H   LoadLibraryA函数地址
+0CH   Fr..

类别：病毒编写 | 阅读全文(27) | 回复(0)

编程

2008-06-03 21:22:59

感染型下载者WIN.exe部分行为分析(上)
http://www.hacker.com.cn/ 2008-6-2 2:17:04 黑客防线

本文涉及的问题：
1. 它是如何感染一个.EXE或.SCR文件的
2. 被感染文件被加入的代码内容及其行为
3. 基于1和2，简要说明被感染文件的修复问题

本文没有涉及的问题：
1. 该病毒如何修改注册表
2. 该病毒生成哪些病毒体文件（包括是否在磁盘根目录生成病毒副本）
3. 该病毒如何下载其他病毒
4. 该病毒感染哪些文件夹下的文件
以上这些内容，就待各位同仁去挖掘了。

样本来源：剑盟样本

[url]http..