回复:2010年2月6日[流行病毒概况以及手动查杀方法]-讲义
提问:
1、ARP欺骗中病毒伪造的网关是不是把自己放在发出请求的机器与真正网关之间,是本来直接从发送请求的机器到网关数据包多运行一步即通过假网关从而使数据包感染上病毒并由真网关把带病毒的数据包解析会原机器使得其中毒?
2、代码感染中的patch感染,对文件入口打补丁,当病毒运行完也把代码移回后还会运行原来的程序吗?
3、patch感染对文件内码打补丁是搜索文件入口一段范围的call或是jmp,是不死原来文件入口段有call或是jmp指令才行?而对文件入口点打补丁是原文件没有call或是jmp指令,病毒把这两个指令替换其他指令使其运行?
4、查找文件空隙感染中说的 开辟一块内存 ,这个内存是指电脑中的内存?这种方式是不是把病毒代码分散放置就好像零散的机器零件然后再被重组后运行?
5、代码感染中增加一个节并修改入口点提到 病毒代码是精心编制而非简单的自身代码的全复制,这个“病毒代码”和“自身代码”分别指的是什么啊?难道不一样吗?为什么说不是自身代码的全复制呢?
6、创建远程进程中说 产生一个特殊进程是一段代码 ,这个特殊的进程是谁产生的啊? 老师,那个步骤的最后一步调用loadlibrary函数为他传递上面分配好的内存地址, 这个内存地址是不是就上前面被植入dll路径的那个内存地址,当loadlibrary调用 这个地址即开始运行其中被粘贴的dll路径,植入dll呢?
先问这些,接着再往下看看再接着问~~
