其实现在还在讨论杀软的清毒能力是时代的错位

caolizhen

导入表感染。这个涉及比较复杂的操作，首先，要自行写一个dll文件，提供程序中对原dll引用的所有函数，然后增加一个节区，修改ImportAddress中的地址，使其指向新增加的节，这样，程序加载后，只要调用相关函数，就会先执行自己写的dll，执行完后，再跳转到原代码人口处执行。

       导入地址感染。这个相对简单些，在PE文件头部分，IMAGE_OPTION_HEADER中有个ImportAddress目录，这个目录中只是一些jmp指令，我们可以修改jmp指令跳转的地址，使其指向在PE文件中我们新增加的代码。这需要在原PE文件中增加代码，PE文件在硬盘上默认200H字节对齐，一般存有空隙，如果代码量小，不用增加新节就可以插入代码。

         修改入口函数地址。这个是最省事的办法，在原PE文件中新增加一个节，计算新节的RVA，然后修改入口代码，使其指向新增加的节。当然，如果.text节空隙足够大的话，不用添加新节也可以。

          修改快捷方式文件。如果PE文件存在快捷方式，可以先行感染快捷方式，使快捷方式指向自己写的程序，自写程序启动后，再执行真正的PE文件。这种做法比较猥琐，而且不可靠。

caolizhen

这么繁琐的工作交给PE和专杀就好了

alskdjfhg

能防住最好，个人不太看重杀毒和轻度能力，最看重防毒能力，我家麦咖啡这点做的不错

-oAo-

备份了就基本无忧了

easybeing

是啊，这种问题远远不是那些宣传清毒的能解决的，还要靠备份

whim

的确，的确，时代变了，朽oo

easybeing

呵呵，是啊，现在木马太牛逼了

sexing

防是最主要的,,,,,清毒的话已经晚了,,,,,,,

safepods

还可以。

gjno1

清毒再好能清几个 随便换个壳 没人上报 还是等死 现在的网络环境 光装个杀软很难抵挡了 有时候HIPS还是必要的