致那些鄙视国内杀毒软件技术差的人

显示全部楼层 · 发表于 2014-8-22 11:04:22

jefffire 发表于 2014-8-22 11:02
我就稍微说说，结合下载保护的程序环境识别方法。
在不拦截所有未知dll的基础上，如何拦截白加黑？
首 ...

黑dll现在还有安软杀出来的情况么？

显示全部楼层 · 发表于 2014-8-22 11:04:39

rsin 发表于 2014-8-22 10:59
是的啊，主动防御要讲的不仅仅是防御，你每个动作都问一下用户体验肯定差，这和全局禁运的毛豆有什么区别 ...

差不多。新的方法不多说了。反正现在白加黑比以前少了。

显示全部楼层 · 发表于 2014-8-22 11:04:55

jefffire 发表于 2014-8-22 11:02
我就稍微说说，结合下载保护的程序环境识别方法。
在不拦截所有未知dll的基础上，如何拦截白加黑？
首 ...

看来我分析的还是有些对的呢～

显示全部楼层 · 发表于 2014-8-22 11:08:32

清道夫900 发表于 2014-8-22 11:04
黑dll现在还有安软杀出来的情况么？

首先要免杀啊，能做白加黑还不会免杀吗?说实话，过国内外那几家杀毒软件的查杀太简单了。说一个都不用思考的方法，讲文件带密码压缩。在写一个解密vbs，再打包成可执行文件，除了360，国内外杀毒软件全过（去年我做的时候360也是过的，后来不行了，被发现了）

显示全部楼层 · 发表于 2014-8-22 11:09:41

jefffire 发表于 2014-8-22 11:04
差不多。新的方法不多说了。反正现在白加黑比以前少了。

这个方法对于EXE和dll分开的是可以解决的，但是一旦作者把EXE和dll弄成一个文件，运行之后再释放文件就不能用这个方法了

显示全部楼层 · 发表于 2014-8-22 11:10:17

rsin 发表于 2014-8-22 11:09
这个方法对于EXE和dll分开的是可以解决的，但是一旦作者把EXE和dll弄成一个文件，运行之后再释放文件就不 ...

弄成一个就不是白了。

显示全部楼层 · 发表于 2014-8-22 11:11:49

rsin 发表于 2014-8-22 11:08
首先要免杀啊，能做白加黑还不会免杀吗?说实话，过国内外那几家杀毒软件的查杀太简单了。说一个都不用思 ...

这也能免杀？没道理吧

显示全部楼层 · 发表于 2014-8-22 11:13:29

rsin 发表于 2014-8-22 11:08
首先要免杀啊，能做白加黑还不会免杀吗?说实话，过国内外那几家杀毒软件的查杀太简单了。说一个都不用思 ...

这个方法是类似于捆绑的么，以前安装这种可执行包，经常中毒，原来，原来，是这样子的。。。。牛啊

显示全部楼层 · 发表于 2014-8-22 11:15:07

jefffire 发表于 2014-8-22 11:10
弄成一个就不是白了。

我是说自解压类型的（当然自解压包还要加工一下，不能被被知道）

显示全部楼层 · 发表于 2014-8-22 11:15:55

rsin 发表于 2014-8-22 11:08
首先要免杀啊，能做白加黑还不会免杀吗?说实话，过国内外那几家杀毒软件的查杀太简单了。说一个都不用思 ...

国外很多这种玩意。。。
一个exe
解压后一个vbs或者bat脚本，然后一个sfx自解压格式包
把脚本用记事本打开，就是个调用winrar命令行带密码解压的命令

最后只要能杀那个解压出来的东西就好，那个才是最终对电脑造成危害的程序。

[讨论] 致那些鄙视国内杀毒软件技术差的人