全国笔记本、surface寄修淘宝店:15weixiu.taobao.com

当前位置:IT门户网 > IT资讯 > 网络 >

360云+BD常规+qvm+国外引擎小红伞+主动防御

时间:2021-07-21    来源:IT资讯    人气:

首先,让我谈谈中国防病毒软件的特点。

1 Kingsoft Internet Security,我个人认为被杀死的代码部分和字符串很常见。我个人很少看到输入表功能。

2瑞星,经过实际战斗经验,瑞星杀毒软件简直是垃圾。如果您通过金山,那么除非您杀死敏感字符串,否则您将通过Rising。

3江民,杀弦纯粹是根本。 。您可以隐藏代码。 。你知道

4是所有人最头痛的360杀毒软件。这就是重点。因为360-5发动机基本上是国产的,所以几乎是相同的。

简介,360云查杀+ BD常规+ qvm +外国引擎小红伞+主动防御。

----------------

详细讨论360的主要引擎例程,您知道...

([1) 360 Cloud Check and Kill实际上是qvm和Red Umbrella的集成版本。它也是云qvm的实时识别,这是每个人最大的麻烦。

(2)我个人怀疑BD引擎有点聪明。有时人们认为无法定位或定位错误。也就是说,可以使用本地终止代码功能等。我个人对BD没感冒,所以我不深入研究。

(3) qvm,所谓的qvm引擎实际上是高启发性+行为判断+特征。。这无疑是智能引擎。

([4) Red Umbrella,与qvm并无多大区别。它也属于情报。大部分都在杀人。

(5)实际上不存在主动防御引擎。即,警卫提示进行主动防御。(也就是说,它越过表面,却提示它是徒劳的)

-------

详细讨论360的每个引擎的定位例程和想法。

先决条件,注释掉合并部分+延迟加载+优化部分。删除版权信息和图标(这也排除了可能性)和观看模式R模式。不要使用调试模式,这是调试模式。 (必需)

事实上,360引擎已经结束了。也许有很多方法,我只是说说我的定位例程。

第一步是断开Internet连接,关闭所有引擎,然后打开Cloud Kill,即找到本地的Cloud Kill。真是垃圾。

第二步,继续通过BD,定位方法相同,向前跳过1000个磁头。 (如果不杀死源代码就无法杀死头部,因此跳过1000个头部即可)。根据定位情况解决了定位问题。

第三步是关闭所有防病毒软件并找到qvm。为了便于正确定位,我们必须添加反调试代码(我个人必须这样做)和其他方式,因为qvm很聪明。大家都知道qvm杀死100%是输入表的功能。因此,每个人都必须一张一张地填写位置。 (您知道)在哪里填充它,在哪里不杀死它,因此它位于该dll中。因此,以相反的方向定位该线段。基本上没有问题,然后一一填写并一一找到。这是为您提供的示例,kernel3 2. dll + user3 2. dll填充了两个dll。因此,就在这里,(通常,填充会跳过GetProcAddress和LoadLibrary,因为杀死这两个函数意味着它是错误的,并且会发生定位错误。因此没有必要。)这样,如果仍然无法进行定位,那么这就是行为的杀戮。反调试代码。或者,您可以执行预处理进行测试。例如,转换大小和最快模式,版权和图标的增减将影响整个功能的顺序。如果进行的转换不包括填充所有常见的dll或被杀死,则可以选择放弃。或者找到更有效的反调试方法。

第四,小红伞引擎。这也让每个人都感到头疼。我个人的实际战斗经验基本上为红伞增加了版权。我不知道该怎么做。我也很沮丧,没有去研究它。如果没有版权,它将被杀死。在我看来 。 。然后,定位方法与qvm基本相同,并且也很聪明。通常,总是会定位错误的功能。可以继续定位。如果您失去了智力,则需要耐心等待。

第五,这也是每个人最麻烦的问题,Yunchacha。我个人说Yali很大。我还介绍了云检查和杀死的想法。也就是说,实时识别云,它经过了什么?然后是qvm和red伞的引擎库。估计还有其他行为需要研究。 (据了解,这360个开发人员是一群黑客。你知道这意味着什么)离家更近..云查杀需要进行。但是,我曾考虑过删除云以检查并杀死前几个引擎。终于通过云杀。 Cloud Killing的输入表功能也是如此。我曾经认为Cloud Killing是一秒钟的手动云识别。后来我发现它似乎不是,它是一个云qvm。这非常麻烦和繁琐。说到云杀死了我,这真令人恶心。但是我不得不说这太艰难了,太艰难了。添加qvm和红伞。这只是一件痛苦的事情,使回避者感到非常痛苦。定位方法需要定位在正方向,也要一圈一圈。排除。傅兄弟说,如果可以动态调用10个以上的函数,则下次很难找到此源代码。可以说基本上没有传递它的方法,这意味着无法找到输入表函数。 。即使位于,也有一些无法调用的地方。我相信每个人都有一套自己的方法,所以在这里我不会胡说八道。有很多情况,并且有许多杀死资源的特定方法。每个人都可以去JKC Remnant Shell和其他论坛来找到相关的教程,这很容易解决。例如,如果您传递dll但杀死dat的dll资源,然后填写MZ标头,则添加要在exe源代码中运行的代码以释放dll和MZ。哈哈,你也知道这一点。

-----------

相关文章

网络排行榜

更多>>

网络知识排行榜

更多>>

系统教程排行榜

更多>>

微信号