[升级]A姐表示压力很大:Anti-LpK的几种方法

ps520 · 发表于 2010-7-29 12:36

本帖最后由 ps520 于 2010-7-30 00:43 编辑

群众："嗯，A哥还会揩油~应该很快就没事了~~~"

A姐："被发现了……"

希望A-new大侠能够快点回到我们队伍中~~~~
(他已经清醒啦，形势一片大好~)
===========================================
本源码演示了几种常见反lpk的方法，当然，很多方法在技术上有重复的地方。

附件标题一定要长……

2010年7月30日 00:46:43

新增API CopyFileA检测方式

Zanker · 发表于 2010-7-29 12:39

支持你一下...
什么语言的源码?

missviola · 发表于 2010-7-29 12:43

[s:216]围观ps师傅出手

紫陌 · 发表于 2010-7-29 12:43

支持了试试去

坏ˉ耶稣 · 发表于 2010-7-29 13:16

提示: 作者被禁止或删除内容自动屏蔽

qyc0129 · 发表于 2010-7-29 13:42

高手。
学习了
貌似USP10也可以。。

ps520 · 发表于 2010-7-30 00:36

本帖最后由 ps520 于 2010-7-30 00:38 编辑

反这个模块很简单，只需要HooK几个特定函数。
其中GetMoudleHandle需要指向System32目录下的那个
其余的retn0即可

OpenFile
CreateFile
CreateFileA
CreateFileW
GetMoudleHandle

只需要Hook可以打开文件的API和取模块OEP的API

从底层拦截！

ps520 · 发表于 2010-7-30 00:40

群众继续杯具地放一个很黑的API

CopyFile

刚才想到的，复制目录下LPK到其他目录，成功则存在LPK。

技术测试通过

yasas · 发表于 2010-7-30 11:12

提示: 作者被禁止或删除内容自动屏蔽

imbadyc · 发表于 2010-7-30 11:16

学习了

帐号		自动登录	找回密码
密码			注册[Register]

坏ˉ耶稣坏ˉ耶稣当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	坏ˉ耶稣发表于 2010-7-29 13:16 提示: 作者被禁止或删除内容自动屏蔽
坏ˉ耶稣坏ˉ耶稣当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	如何快速判断一个文件是否为病毒！
	回复支持举报

[其他转载] [升级]A姐表示压力很大:Anti-LpK的几种方法

个人中心

yasas yasas 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	yasas 发表于 2010-7-30 11:12 提示: 作者被禁止或删除内容自动屏蔽

	回复支持举报