随笔分类 -  Windows Research

摘要：http://bbs.sucop.com/forum.php?mod=viewthread&tid=18431&extra=page%3D1&page=1对抗启发式代码仿真检测技术分析创建时间：2008-05-06文章属性：原创文章提交：nEINEI (neineit_at_gmail.com)作者 : nEINEI 邮箱 : neineit@gmail.com 完成于 ：08-05-06 最近在研究病毒的检测技术，虽然在这个木马、流氓件猖獗的年代，检测技术（除了考虑效率因素外）已经变得不是十分重要了。但俺仍然出于兴趣想从这里面寻找些思路。或许对抗技术的本身并不在于谁彻 阅读全文

摘要：目前接触的HOOK总结，学习HOOK只是为了让我对内核更加熟悉，我对那些毛的病毒木马没毛兴趣。Windows平台上HOOK:应用层HOOK:1.消息HOOK:局部钩子、全局钩子、全局低级键盘钩子之类2.IAT HOOK:通过修改IAT(导入表)表中的地址 过程就是先取DOS头,再取PE头偏移,再获取导入信息,其中的FirstThunk就是IAT偏移,再遍历,这样就找到了IAT表3.EAT HOOK:(这个没有实际去做，知道思路) 详见http://bbs.pediy.com/showthread.php?t=62574内核级HOOK:内核hook基本上大同小异，都是获取相关函数的地址后修改成自 阅读全文