国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

菜鳥(niǎo)對(duì)付最流行的幾種捆綁器

最近不知怎么搞的。一夜就冒出N個(gè)捆綁機(jī)。害得我等菜鳥(niǎo)苦不堪言。今天就各種捆綁器的
原理和檢測(cè)方法做個(gè)簡(jiǎn)單的總結(jié)，以幫助各位識(shí)別帶毒程序。

一、傳統(tǒng)的捆綁器。這種原理很簡(jiǎn)單，也是目前用的最多的一種。就是將B.exe附加到A.exe的
末尾。這樣當(dāng)A.exe被執(zhí)行的時(shí)候，B.exe也跟著執(zhí)行了。這種捆綁器的代碼是滿(mǎn)網(wǎng)都是。我最
早是從jingtao的一篇關(guān)于流的文章中得知的。就目前來(lái)說(shuō)，已經(jīng)沒(méi)什么技術(shù)含量了。

檢測(cè)方法：稍微懂一點(diǎn)PE知識(shí)的人都應(yīng)該知道。一個(gè)完整有效的PE/EXE文件，他的里面都包含
了幾個(gè)絕對(duì)固定的特點(diǎn)[不管是否加殼]。一是文件以MZ開(kāi)頭，跟著DOS頭后面的PE頭以PE\0\0
開(kāi)頭。有了這兩個(gè)特點(diǎn)，檢測(cè)就變得很簡(jiǎn)單了。只需利用UltraEdit一類(lèi)工具打開(kāi)目標(biāo)文件搜索
關(guān)鍵字MZ或者PE。如果找到兩個(gè)或者兩個(gè)以上。則說(shuō)明這個(gè)文件一定是被捆綁了。不過(guò)值得注
意的是，一些生成器也是利用了這個(gè)原理，將木馬附加到生成器末尾，用戶(hù)選擇生成的時(shí)候讀
出來(lái)。另外網(wǎng)上流行的多款“捆綁文件檢測(cè)工具”都是文件讀出來(lái)，然后檢索關(guān)鍵字MZ或者PE。
說(shuō)到這里，相信大家有了一個(gè)大概的了解。那就是所謂的“捆綁文件檢測(cè)工具”是完全靠不住
的一樣?xùn)|西。

二、資源包裹捆綁器。就這原理也很簡(jiǎn)單。大部分檢測(cè)器是檢測(cè)不出來(lái)的，但灰鴿子木馬輔助
查找可以檢測(cè)出捆綁后未經(jīng)加殼處理的EXE文件。但一般人都會(huì)加殼，所以也十分不可靠。
這個(gè)學(xué)過(guò)編程或者了解PE結(jié)構(gòu)的人都應(yīng)該知道。資源是EXE中的一個(gè)特殊的區(qū)段?？梢杂脕?lái)包含
EXE需要/不需要用到的任何一切東西。利用這個(gè)原理進(jìn)行100%免殺捆綁已經(jīng)讓人做成了動(dòng)畫(huà)。
大家可以去下載看看。那捆綁器是如何利用這一點(diǎn)的呢？這只需要用到BeginUpdateResource
、UpdateResource和EndUpdateResource這三個(gè)API函數(shù)就可以搞定。這三個(gè)API函數(shù)是用來(lái)做
資源更新/替換用的。作者只需先寫(xiě)一個(gè)包裹捆綁文件的頭文件Header.exe.頭文件中只需一段
釋放資源的代碼。而捆綁器用的時(shí)候先將頭文件釋放出來(lái)，然后用上面說(shuō)的三個(gè)API函數(shù)將待
捆綁的文件更新到這個(gè)頭文件中即完成了捆綁。類(lèi)似原理被廣泛運(yùn)用到木馬生成器上。

檢測(cè)方法：一般這種很難檢測(cè)。如果你不怕麻煩，可以先將目標(biāo)文件進(jìn)行脫殼。然后用“灰鴿
子木馬輔助查找”或“ResTorator”一類(lèi)工具將資源讀出來(lái)進(jìn)行分析。但這種方法畢竟不通用。
所以還是推薦有條件的朋友使用虛擬機(jī)。

三、編譯器捆綁法。暫時(shí)不知用什么名字來(lái)形容，所以只能用這個(gè)來(lái)代替。這種方法相當(dāng)?shù)年?br>險(xiǎn)。是將要捆綁的文件轉(zhuǎn)換成16進(jìn)制保存到一個(gè)數(shù)組中。像這樣

muma:array[0..9128] of Byte=($4D,$5A,$50....$00);

然后用時(shí)再用API函數(shù)CreateFile和WriteFile便可將文件還原到硬盤(pán)。這里稍稍學(xué)過(guò)編程的都
知道。代碼中的數(shù)組經(jīng)過(guò)編譯器、連接器這么一搞。連影都沒(méi)了。哪還能有什么文件是吧？所
以就這種方法而言，目前還沒(méi)有可以查殺的方法。這種方法可以利用編程輔助工具jingtao的
DcuAnyWhere或Anskya的AnyWhereFileToPas來(lái)實(shí)現(xiàn)。

四、最最毒辣的一種。因?yàn)闀簳r(shí)用的人較少，且危害性及查殺難度太大。[一個(gè)被殺的病毒直接
捆綁就能免殺，汗~]所以就不公布了。此法查殺方法通用性極差。如果流行，估計(jì)大家連動(dòng)畫(huà)
都不敢下著看了。HOHO~

補(bǔ)充：可以利用一些第三方工具將硬盤(pán)和注冊(cè)表監(jiān)視起來(lái)以后再運(yùn)行那些你不確定是否被捆綁
的程序。這樣，一旦硬盤(pán)出現(xiàn)變化，或有文件新建，或有文件改變都會(huì)被記錄在案。就算是查
找起來(lái)也方便一點(diǎn)。