|
- 帖子
- 19
- 积分
- 28
- 威望
- 37
- 金钱
- 37
- 在线时间
- 0 小时
|
引用:
引用第4楼langouster于2007-03-23 21:08发表的 :
可以用LoadLibrary GetProcAddress的方法。不过要注意下NOD32不仅查IAT,它在程序的任意位置发现如CreateRemoteThread这样的字符串也会把程序当木马。
下面这个程序用了CreateRemoteThread函数但在NOD32下免杀。
PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");
.......
这样应该不查了吧
感觉这种方法最好``
(嘿嘿 其实我也是这样想的。。。不过被抢先了。。但是我没试过
langouster用过吧 ?
帖子30 精华0 积分98 阅读权限40 性别男 在线时间32 小时 注册时间2007-4-13 最后登录2007-11-20 查看详细资料引用 报告 回复 TOP
bosket 
晶莹剔透§烈日灼然 |
|
发表于 2008-7-20 23:25
| 