木马病毒的六种启动方式剖析(来源于网络)

木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过 某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。   一、通过"开始\程序\启动"   隐蔽性:2星   应用程度:较低   这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。因为启动组的每人会会出现在 “系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始...
2009-02-15 20:55 | 阅读 2403 次 | 评论 0 条

木马免杀原理大全

免杀的原理大全一、工具mycll:特征码定位PEID:查壳工具PEditor: 入口点修改工具 加花c32asmollybgoc:文件地址到内存地址 的换算resscope:资源编辑zeroadd:加区段的木马采衣:加花maskpe,vmprotect:加密upx,aspack北斗壳:压缩免疫007:免疫器二、效果分析1、加密:vmprotectv1.21和 MASKPE2.0(对瑞星有特效),比较容易过瑞星表面,不能过卡巴压缩:北斗,UPX:主要是减少体积加花:对卡巴有特效,通用性比较好2、北斗+VMpro,但是北斗+maskpe 出错!无壳木马可以先加花3、无壳木马直接用maskPE...
2009-01-02 18:03 | 阅读 14744 次 | 评论 0 条

汇编8086的指令系统

8086的指令系统可分成6个功能组,他们是①数据传送类指令②算术运算类指令③位操作类指令④串操作类指令⑤控制转移类指令⑥处理机控制类指令 一、数据传送类指令数据传送类指令又分为:1、通用数据传送指令三条传送指令:MOV dest,src ;dest←src交换指令:XCHG reg,reg/mem ;reg←reg/mem,也可表达为:XCHG reg/mem.reg换码指令:XLAT label 或 XLAT ;al←ds:[bx+al]2、堆栈操作指令进栈指令:PUSH reg/mem/seg ;SP←sp-2,SS:[Sp]←reg/me...
2008-12-24 16:28 | 阅读 4279 次 | 评论 1 条