| sgfree
26935
|
2006/11/1 2:42:25 |
突然发现好物,看了几分钟,大概说明下
一. 最关键的,就是CreateProcessEx这个了,不知道是自己写的还是用内存流运行程序改的
二. 步骤:
载入目标文件入流>LH5压缩->MADSHI加密->
拷贝自己到临时文件->读取目标文件图标->
改写自己临时文件图标->
把加密过的目标文件流更新自己的临时文件的资源又或者附加到尾巴上,没仔细看
载入文件资源入流->MADSHI解密->LH5解压->直接在内存中CreateProcess
完毕! |
| dna32r
19093
|
2005/11/11 5:02:10 |
To mytop
没有作过PolyVirus,明眼人一看就知道。所谓的变型仅仅是加密的数据变型而已,
真正的Stub头部不会变型..所以准确的说算是一个不合格产品,,...
仅仅是演示,当时zxxfox说Flux免杀好麻烦,于是就自己作了一个。后来怎么就怎么了。呵呵~这几天把代码修改了一下~可以将数据注入到别的进程内。运行(不需要启动要注入的进程)。。。和国外的NTPacker 2一样的功能。。。
采用这种方法注入代码问题(很稳定。。)很方便(真的很方便~不用写DLL直接~写个EXE用~loader直接注入就可以了。。。)稍微有点问题没有解决。。Win9x下无法注入.. 最近下雨身体返潮。。有不好了~呵呵。。也就耽搁了。。。以后再发布好了 |
| mytop
18970
|
2005/11/6 19:59:24 |
类似PolyVir...
貌似楼主以前做过PolyVir开发??... |
| sundy
18921
|
2005/11/4 21:34:46 |
| 这段代码的质量的确是高! |
| bianfuxia888888
18916
|
2005/11/4 16:00:03 |
谢了
多多学习 |
| yufee
18911
|
2005/11/4 13:57:02 |
| 感谢楼主,我已经寻找这样的源码很久了。 |
| airwatering
18903
|
2005/11/4 10:47:50 |
| 检查到有病毒是正常的,因为Anskya的东西很不错,名气大了,有些东西又被借鉴至其它用途;信不过可以自己研究代表,编译生成可扫行文件 |
| tim001
18896
|
2005/11/4 9:49:08 |
| OK!我要学习!!! |
| vsoft
18893
|
2005/11/4 8:30:29 |
| Norton检测到有病毒~~~ |
| netbat
18892
|
2005/11/4 8:19:49 |
楼上的高见呀。
不知楼主的病情怎么样了,康复了吗? |
| cs74
18890
|
2005/11/4 6:30:59 |
| 现在的压缩算法主要是将明文的重复信息进行统计后以二叉树表示,重复越多的就越在顶端,然后遍历重新编码,如‘AAAAABBBXX’可以变为‘000001110101’,这样10*8位的数据就变为12位的数据,压缩比为80:12;加密一般要用密钥的某几位运算明文的某一位得到一位密文,于是重复的信息就少了,如如‘AAAAABBBXX’可能变为'sjeuHsJOs#'显然压缩比要减少。 |
| yuzi
18886
|
2005/11/3 19:30:30 |
| 高手的作品要支持一下! |
