killvxk大牛是360公司的?

  GetImageBase跟摘Fs Filter貌似是V大写的 ？俺直接从360那边COPY滴
---------------------------------------------------------------------------------

上面是引用的MJ0011的一段话  

让谣言来得更猛烈些吧

引用第1楼binjo于2007-02-02 14:23发表的“”:
让谣言来得更猛烈些吧

 

我只会传绯闻,哈哈.

顶谣言

上传谣言图一张！

......让流氓来得更猛烈些吧~~

我不是360公司的，在那群就是为了混点所谓的开源~

引用第6楼killvxk于2007-02-02 14:53发表的“”:
......让流氓来得更猛烈些吧~~

我不是360公司的，在那群就是为了混点所谓的开源~

老V有没有混到???

没混到阿

 
是记得当初360公告说要开源的。。。

估计360养不起，我心目中的v大

对了问一下崇拜的v大，一个驱动注入winlib.dll，你知道是谁写的代码吗？
估计写这个的人应该受过你的指点

昨天也见过Winlib.dll 注入，非驱动做的，某流氓，名字忘了

一切流氓与我无关，我不搞流氓~
我搞AV
AXXXX
Video

不一般啊,AV比流氓,插插还要猛烈...    
 

引用第14楼qiweixue于2007-02-03 16:12发表的“”:
不一般啊,AV比流氓,插插还要猛烈...    
 

AV

AXXXX
VIDEO

引用第12楼WQXNETQIQI于2007-02-02 18:22发表的“”:
昨天也见过Winlib.dll 注入，非驱动做的，某流氓，名字忘了

是驱动注入的吧？
我具体没有细看

估计v老大那样的高手，除他花指令应该很容易．
不过还是帖出来给初学者吧：）

BYTE sig_1[] =
{
0x51,0xE8,
0x03,0x00,0x00,0x00,
0xC7,0x84,0x00,0x59,
0xE9,0x01,0x00,0x00,
0x00,0xE9,0x83,0xC1,
0x0A,0x51,0xC3,0xFF,
0x35,0xFF,0x25,0xE9,0x59
};

BYTE sig_2[] =
{
0xE8,0x08,
0x00,0x00,0x00,0x0F,
0x01,0xE9,0x08,0x00,
0x00,0x00,0xE8,0xE9,
0xF5,0xFF,0xFF,0xFF,
0x00,0x00,0x83,0xC4,0x04
};

BYTE sig_3[] =
{
0x50,0xE8,0x0A,
0x00,0x00,0x00,0xC7,0x83,
0x83,0xC0,0x1C,0xE9,0x11,
0x00,0x00,0x00,0x58,0xE9,
0x02,0x00,0x00,0x00,0xCD,
0x20,0x83,0xC0,0x02,0xE9,
0x01,0x00,0x00,0x00,0xE9,0x50,0xC3,0xE8,0x58
};

BYTE sig_4[] =
{
0xE9,0x01,0x00,
0x00,0x00,0x0F,0x50,0x31,
0xF0,0xE9,0x1A,0x00,0x00,
0x00,0x33,0xC8,0xE9,0x06,
0x00,0x00,0x00,0xE9,0x15,
0x00,0x00,0x00,0x0F,0x59,
0x0F,0x84,0x0D,0x00,0x00,
0x00,0x0F,0x85,0xED,0xFF,
0xFF,0xFF,0x58,0x51,0xE9,0xDF,0xFF,0xFF,0xFF
};

BYTE sig_5[] =
{
0x53,0xE8,0x08,
0x00,0x00,0x00,0x0F,0x01,
0x83,0xC3,0x0F,0x53,0xC3,
0xFF,0x5B,0x83,0xC3,0x02,0xFF,0xE3,0x0F,0x01,0x0C,0x5B
};

对了，如果想拿到Winlib.dll 这个文件也很容易，把acpidisk.sys用0xff异或一下就出来了：）
对了，他注入之后，会把这个文件删掉，让你找不到，不过可以直接从驱动里找出来：）

里边还有一个注入的dll，叫做system.dll可以进行汇报等等操作：）

引用第13楼killvxk于2007-02-02 21:37发表的“”:
一切流氓与我无关，我不搞流氓~
我搞AV
AXXXX
Video

v大，既然是搞av的，把样本给你啊：）
如果有时间可以考虑给我们小白逆一下：）