反病毒工具之病毒诊断程序 ring0下的操作恐怕需要驱动! 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 看来CSDN上VB版的对反病毒感兴趣的人比较少 感觉本程序功能非常强大,对于分析一些可执行文件的行为非常有用!测试结果:1.一个用VB写的读取访问网络进程的程序-----------2008年2月2日 12时34分44秒: 读内存操作,地址为:0x2076c,数据为:d:\Program Files\Rising\Rfw\rfwProxy.exe,读取82字节,成功标志:成功2008年2月2日 12时34分44秒: 读内存操作,地址为:0x7ffd600c,数据为:0x12F304,读取4字节,成功标志:成功2008年2月2日 12时34分44秒: 读内存操作,地址为:0x251ea4,数据为:0x12F308,读取4字节,成功标志:成功2008年2月2日 12时34分44秒: 读内存操作,地址为:0x251ec0,数据为:?%?%?%?%,读取80字节,成功标志:成功2008年2月2日 12时34分44秒: 读内存操作,地址为:0x251f18,数据为:?%?%?%?%?%?%,读取80字节,成功标志:成功2008年2月2日 12时34分44秒: 读内存操作,地址为:0x251fc0,数据为:?%?%?%?%?%?%,读取80字节,成功标志:成功2008年2月2日 12时34分44秒: 读内存操作,地址为:0x252068,数据为:?%?%?%?%?%?%,读取80字节,成功标志:成功2008年2月2日 12时34分44秒: 读内存操作,地址为:0x252108,数据为:?%?%?%?%?%?%,读取80字节,成功标志:成功2008年2月2日 12时34分44秒: 读内存操作,地址为:0x2521a8,数据为:≈%?%?%?%?%?%,读取80字节,成功标志:成功------------2.一个用VB写的直接写文件的程序和shell另一个程序的程序-------------2008年2月2日 12时56分18秒: 申请内存操作,申请地址为:0x10c2000,成功标志:成功2008年2月2日 12时56分18秒: 打开文件:E:\1.asp2008年2月2日 12时56分18秒: 写文件操作:路径是:E:\1.asp,写入字节数:13,成功标志:成功2008年2月2日 12时56分18秒: 申请内存操作,申请地址为:0x174000,成功标志:成功2008年2月2日 12时56分18秒: 申请内存操作,申请地址为:0x174000,成功标志:成功.....2008年2月2日 12时56分18秒: 打开文件:C:\WINDOWS\AppPatch\sysmain.sdb2008年2月2日 12时56分18秒: 打开文件:C:\WINDOWS\NOTEPAD.EXE2008年2月2日 12时56分18秒: 打开文件:C:\WINDOWS\NOTEPAD.EXE2008年2月2日 12时56分18秒: 申请内存操作,申请地址为:0x11b0000,成功标志:成--------------3.一个用c写的直接写文件的程序--------------2008年2月2日 13时13分19秒: 申请内存操作,申请地址为:0x26a000,成功标志:成功2008年2月2日 13时13分19秒: 打开文件:E:\2.asp2008年2月2日 13时13分19秒: 申请内存操作,申请地址为:0x3f4000,成功标志:成功2008年2月2日 13时13分19秒: 写文件操作:路径是:E:\2.asp,写入字节数:1,成功标志:成功-------------以上是我的测试结果,由于测试人水平问题,没有进行更进一步的测试(如:反汇编被测试的程序进行对照等)有一点小小的建议:1,杀毒软件一般对写入文件等的信息很关注,如一个PE型病毒一定会对另一个EXE文件写入一些东西等。而本程序对写入文件的信息只给出了写入字节数,如果能给出内容,哪样会更好一些;2,读内存的数据有两种,一种是16进制的(0x12F308),另一种是乱码(?%?%?%?%),不知出于何种考虑。不对之处,还请见谅! 怎样实现mshflexgrid的行的移动与数据表记录指针的移动同步? 大家给点意见 vb如何调用c或c++编写的函数? ?vb6+data控件连access 关于Navigate2和BeforeNavigate2的问题!!?? 关于VB中ActiveX DLL的输出函数 各位在VB里面怎么把按钮改成圆角样式的???? 请问如何加密VB生成的mdb数据库?使别人即使得到了mdb数据库,也不能进行2次开发。 DATA控件连接时总是出错 高手请进来,关于FTP的WINDOWS API函数, 高难道挑战! 技术领域的求新与求精,两者不可兼得时,哪个更重要? 在vb里用socket发数据包的问题
测试结果:
1.一个用VB写的读取访问网络进程的程序
-----------
2008年2月2日 12时34分44秒: 读内存操作,地址为:0x2076c,数据为:d:\Program Files\Rising\Rfw\rfwProxy.exe,读取82字节,成功标志:成功
2008年2月2日 12时34分44秒: 读内存操作,地址为:0x7ffd600c,数据为:0x12F304,读取4字节,成功标志:成功
2008年2月2日 12时34分44秒: 读内存操作,地址为:0x251ea4,数据为:0x12F308,读取4字节,成功标志:成功
2008年2月2日 12时34分44秒: 读内存操作,地址为:0x251ec0,数据为:?%?%?%?%,读取80字节,成功标志:成功
2008年2月2日 12时34分44秒: 读内存操作,地址为:0x251f18,数据为:?%?%?%?%?%?%,读取80字节,成功标志:成功
2008年2月2日 12时34分44秒: 读内存操作,地址为:0x251fc0,数据为:?%?%?%?%?%?%,读取80字节,成功标志:成功
2008年2月2日 12时34分44秒: 读内存操作,地址为:0x252068,数据为:?%?%?%?%?%?%,读取80字节,成功标志:成功
2008年2月2日 12时34分44秒: 读内存操作,地址为:0x252108,数据为:?%?%?%?%?%?%,读取80字节,成功标志:成功
2008年2月2日 12时34分44秒: 读内存操作,地址为:0x2521a8,数据为:≈%?%?%?%?%?%,读取80字节,成功标志:成功
------------
2.一个用VB写的直接写文件的程序和shell另一个程序的程序
-------------
2008年2月2日 12时56分18秒: 申请内存操作,申请地址为:0x10c2000,成功标志:成功
2008年2月2日 12时56分18秒: 打开文件:E:\1.asp
2008年2月2日 12时56分18秒: 写文件操作:路径是:E:\1.asp,写入字节数:13,成功标志:成功
2008年2月2日 12时56分18秒: 申请内存操作,申请地址为:0x174000,成功标志:成功
2008年2月2日 12时56分18秒: 申请内存操作,申请地址为:0x174000,成功标志:成功
.....
2008年2月2日 12时56分18秒: 打开文件:C:\WINDOWS\AppPatch\sysmain.sdb
2008年2月2日 12时56分18秒: 打开文件:C:\WINDOWS\NOTEPAD.EXE
2008年2月2日 12时56分18秒: 打开文件:C:\WINDOWS\NOTEPAD.EXE
2008年2月2日 12时56分18秒: 申请内存操作,申请地址为:0x11b0000,成功标志:成
--------------
3.一个用c写的直接写文件的程序
--------------
2008年2月2日 13时13分19秒: 申请内存操作,申请地址为:0x26a000,成功标志:成功
2008年2月2日 13时13分19秒: 打开文件:E:\2.asp
2008年2月2日 13时13分19秒: 申请内存操作,申请地址为:0x3f4000,成功标志:成功
2008年2月2日 13时13分19秒: 写文件操作:路径是:E:\2.asp,写入字节数:1,成功标志:成功
-------------
以上是我的测试结果,由于测试人水平问题,没有进行更进一步的测试(如:反汇编被测试的程序进行对照等)有一点小小的建议:
1,杀毒软件一般对写入文件等的信息很关注,如一个PE型病毒一定会对另一个EXE文件写入一些东西等。
而本程序对写入文件的信息只给出了写入字节数,如果能给出内容,哪样会更好一些;
2,读内存的数据有两种,一种是16进制的(0x12F308),另一种是乱码(?%?%?%?%),不知出于何种考虑。
不对之处,还请见谅!