如果说扩展名和性能相关，那么

显示全部楼层 · 发表于 2015-9-6 17:50:52

jefffire 发表于 2015-9-6 10:33
先导程序把文件头补回去不就行了？

我觉得关键还是在于杀软的检测机制...不然的话我也可以做出逻辑理论上可行的假设。我假设。一切具备某文件头的文件.只要你执行.在那之前必须通过检测.并且检测之后你无法做任何小动作...(任何只是相对的并非全部.但是文件头修改这么明显可疑的动作...）

显示全部楼层 · 发表于 2015-9-6 22:13:57

jefffire 发表于 2015-9-6 15:06
。。。。。。
原来哈希值不变啊

修改程序dll输入表会改变EXE哈希值，但修改外接dll不会改变

显示全部楼层 · 发表于 2015-9-8 11:48:09

寒月X 发表于 2015-9-6 17:50
我觉得关键还是在于杀软的检测机制...不然的话我也可以做出逻辑理论上可行的假设。我假设。一切具备某文 ...

先导程序补文件头是很容易的事情，取决于编写者。
让杀毒程序按照你所述的方法进行检测，不太现实。

显示全部楼层 · 发表于 2015-9-8 11:48:29

温馨小屋发表于 2015-9-6 22:13
修改程序dll输入表会改变EXE哈&#24 ...

改了输入表的“白”文件，我不认为是白文件

显示全部楼层 · 发表于 2015-9-8 12:30:45

jefffire 发表于 2015-9-8 11:48
改了输入表的“白”文件，我不认为是白文件

恶意代码在dll里，EXE只是调用，EXE里没有恶意代码，是不会被杀的

显示全部楼层 · 发表于 2015-9-8 12:48:28

本帖最后由 jefffire 于 2015-9-8 12:52 编辑

温馨小屋发表于 2015-9-8 12:30
恶意代码在dll里，EXE只是调用&#65 ...

所以这和白加黑有什么关系？
这不就成了黑加黑或者灰加黑？顶多说，exe可以免杀表面，可是别忘了，灰exe触发的监控等级和白exe是完全不同的。

显示全部楼层 · 发表于 2015-9-8 12:54:20

jefffire 发表于 2015-9-8 12:48
所以这和白加黑有什么关系？
这不就成了黑加黑或者灰加黑？

EXE是白的，调用了黑dll只是dll不是abc.dll的形式，是abc.vir或其他扩展名，在EXE的dll调用表里声明我要调用abc.vir里的什么函数，黑dll即使扩展名不对也可以正常运行

显示全部楼层 · 发表于 2015-9-8 12:54:57

jefffire 发表于 2015-9-8 12:48
所以这和白加黑有什么关系？
这不就成了黑加黑或者灰加黑？顶多说，exe可以免杀表面，可是别忘了， ...

这样并不代表EXE是黑的，只是掉用的东西有问题

显示全部楼层 · 发表于 2015-9-8 12:59:37

本帖最后由 jefffire 于 2015-9-8 13:05 编辑

温馨小屋发表于 2015-9-8 12:54
EXE是白的，调用了黑dll只是dll不是abc.dll的形式，是abc.vir或其他扩展名，在EXE的dll调用表里声明我要 ...

我当然知道可以调用，不用反复强调嘛。我想说的是这不是白加黑，不是随随便便什么都叫白加黑。白加黑是一类bypass基于白名单主动防御的手段。这种篡改合法程序的输入表制造的exe ，当然是不存在于各大杀软的白名单的。不在白名单里还有什么意义？自己写一个先导程序。效果是一样的嘛。

显示全部楼层 · 发表于 2015-9-8 22:27:20

sunnyjianna 发表于 2015-9-3 23:29
我专业是工程地质啊，不过搞了一年的工程，现在又搞了两年半的矿产地质。守过矿山，干过区域地质调查，各 ...

早点改行吧，这两年制作业，加工业那些都不景气，整个中国经济都放缓了，我4年前第一份工作就是石油工程，后来也改行了。我朋友在新疆做石油勘探的，下个月也准备回来和我同业发展了，他也说，待遇也来越差了。

[讨论] 如果说扩展名和性能相关，那么