|
阅读:4820回复:12
HOOKAPI被卡吧报木马警告
问题如下:
最作一个DLL,主要是HOOK了OpenProcess()函数,以实现在任务管理器中禁止关闭指定的进程,查看了网上相关的资料,并且在www.internals.com下到相关源码(下载路径:http://www.internals.com/utilities/winnt/stickyapp32/StickyApp32.zip) 编译源码,发现debug版文件没异常,但release版dll文件被卡吧报木马警告,想请教下高手这是什么原因,是hook了OpenProcess原因吗?并且对于卡吧为什么会吧debug和release版文件区别对待呢? 等待大家的高见:) |
|
|
|
沙发#
发布于:2007-05-13 14:55
呵呵,已经有人用它来做马了,很正常。
|
|
|
板凳#
发布于:2007-05-15 09:39
to:strpic
在看雪,有兄弟提示我说要修改特征码,可能是该例子被人copy太多了,有人用它做了木马的, 这个观点和strpic兄弟观点相同,请问哪位兄弟能解释下特征码吗,且如何修改特征码呢? 本人菜鸟,恳请赐教,谢谢:) |
|
|
|
地板#
发布于:2007-05-15 15:47
把这个东西向你的程序内猛加!
_asm { nop } |
|
|
地下室#
发布于:2007-05-16 08:36
to:zjjmj2002
兄弟,可以简单介绍说明下吗:) |
|
|
|
5楼#
发布于:2007-05-16 09:16
就是不停地加空指令 nop,这个指令啥也不作,不会改变程序逻辑.但可以改变生成的代码的特征值...
|
|
|
|
6楼#
发布于:2007-05-16 15:28
按照zjjmj2002兄的方法已经可以避免被卡巴报木马了:) 谢谢大家的关注 呵呵znsoft老大都关注了哈哈 再次谢谢大家
另:限于我知识有限 希望大家有空可以帮我解释下本贴中提到的“特征码”,如果方便希望能给相关链接,我自己去看也行 谢谢大家了:) |
|
|
|
7楼#
发布于:2007-09-26 16:18
如果单纯怕被任务管理器结束的话,把你进程名称改为Services.exe或其它几个关键进程名称相同就可以了。
|
|
驱动小牛
|
8楼#
发布于:2007-10-07 10:15
单纯加NOP,可以过卡巴,但是像瑞星和诺顿,还是不容易过的,每个杀毒软件采用的技术不大一样.
总之,想作恶是越来越难了. |
|
9楼#
发布于:2007-10-07 10:27
vmprotect很好用
 |
|
|
|
10楼#
发布于:2007-10-08 12:57
引用第9楼WQXNETQIQI于2007-10-07 10:27发表的 : 对,用vm卡巴就查不出来了,不过有一些程序用vm protect以后,程序就不能运行了,只加别的壳就可以运行,这是为什么? |
|
|
11楼#
发布于:2008-01-07 07:13
引用第3楼zjjmj2002于2007-05-15 15:47发表的 : 请教一下, 那将来x64怎么办? 记得x64的 vc 不是不吃 inline asm? |
|
|
12楼#
发布于:2008-02-21 15:37
比起其它的技术难题, 免杀相对来讲还是简单些.
|
|