脱鸽子玩

显示全部楼层 · 发表于 2007-4-17 07:43:10

原帖由 EQ2 于 2007-4-17 09:08 发表
未加壳前也是这样。。。。。

这个只是文件开头，不管加不加壳只要是32-bit的exe便会这样，加壳会修改文件开头的话那种壳简直是垃圾了

显示全部楼层 · 发表于 2007-4-17 07:44:11

那种壳貌似很少见到。。。俄罗斯似乎很流行？。。。。

显示全部楼层 · 发表于 2007-4-17 07:45:40

俄罗斯是个奇怪的地方
……
理科王国，没办法

显示全部楼层 · 发表于 2007-4-17 07:46:12

对了。。。。。。solcroft 推荐一个有影子相同功能的软件吧。。。。影子实在太那个了。。动不动就重启。。。

显示全部楼层 · 发表于 2007-4-17 07:47:49

原帖由 ALEXBLAIR 于 2007-4-17 07:45 发表
俄罗斯是个奇怪的地方
……
理科王国，没办法

很向往莫斯科。。。。。。

显示全部楼层 · 发表于 2007-4-17 07:48:55

原帖由 EQ2 于 2007-4-17 09:16 发表
对了。。。。。。solcroft 推荐一个有影子相同功能的软件吧。。。。影子实在太那个了。。动不动就重启。。。

WSF上有HIPS狂推荐ShadowSurfer这个东西，我本身却没用过...
有兴趣的话试试看SandboxIE吧，简单方便，唯一的问题是不太适合用来测试病毒... 很多病毒行为在沙盘里都展现不出来

显示全部楼层 · 发表于 2007-4-17 07:51:11

偶就是要玩毒的。。。。

显示全部楼层 · 发表于 2007-4-17 07:53:47

ShadowUser，ShadowServer以及ShadowSurfer有什么区别？？？

显示全部楼层 · 发表于 2007-4-17 08:00:12

原帖由 EQ2 于 2007-4-17 09:21 发表
偶就是要玩毒的。。。。

要玩毒，还是影子系统最好
就算是用虚拟机，效果也未必是最理想的，有些病毒简单的话可以探测到虚拟机进程，较牛的可以直接检查Interrupt Descriptor Table在内存的位置或EBX + ECX register来克服虚拟环境
还是直接在物理机上执行最爽

显示全部楼层 · 发表于 2007-4-17 08:01:41

原帖由 EQ2 于 2007-4-17 09:23 发表
ShadowUser，ShadowServer以及ShadowSurfer有什么区别？？？

都没用过

[病毒样本] 脱鸽子玩