回复: w1017.exe的处理



引用:
原帖由 闪电风暴 于 2008-10-22 20:23:00 发表
应该不像是PJF在初始界面中写下的pjf(ustc)和IceSword,这些东西如果不是label的话,早就被转化成图片了。
而从图片中识别文字是十分麻烦的。

其实检测IceSword启动是很简单的。。。。Hook 掉CreateProcessExW,然后检查效验和就行。


找到这个病毒的软肋了