Red de conocimiento informático - Material del sitio web - ¿Cómo localizar la firma de defensa activa QVM de 360 ​​Guards y localizar la firma de cinco motores de 360 ​​Antivirus?

¿Cómo localizar la firma de defensa activa QVM de 360 ​​Guards y localizar la firma de cinco motores de 360 ​​Antivirus?

Ubique la firma de defensa activa QVM de 360 ​​Guards y ubique las firmas de cinco motores de 360 ​​Antivirus

Para el motor QVM en la nube

Suplemento: si los cinco motores de 360 ​​Antivirus pasan , entonces la defensa activa QVM de 360 ​​Guard también pasó

1 Utilice el software antivirus 360 para escanear y verificar el nombre del virus

(1)) Si el nombre del virus es QVM. escriba, cancele la nube en la configuración de múltiples motores Motor antivirus y motor antivirus convencional

(2) Si el nombre del virus es un tipo de motor de nube (es decir, hay un ícono de nube frente a él) , intente modificar primero el MD5 del archivo.

Si aún lo detectan y lo eliminan después de la modificación, cancele el motor QVM y el motor antivirus convencional en la configuración de múltiples motores.

(3) Si no se cumplen las dos condiciones anteriores, reportar el virus El tipo es un motor antivirus normal.

Si es así, cancele el motor antivirus en la nube y el motor QVM en la configuración de múltiples motores y ubíquelo de la manera normal

(su motor antivirus habitual está dividido en Xiaohongsan y BD. En cuanto a la ubicación y características de estos dos motores antivirus, no diré más sobre Baidu aquí)

2. para eliminar la tabla de entrada del programa y luego eliminarlo

(1) Después de eliminar el programa, el programa no se puede verificar ni eliminar. Continúe con el tercer paso

(2) Después de eliminar el programa, aún se puede verificar y eliminar; modifique los recursos del archivo disfrazado para ver si aún se puede verificar y eliminar el programa. ----Puedes continuar con el paso 3 sin finalizar el programa. -----

(3) Todavía eliminado después de la eliminación ---Modifique el recurso del archivo disfrazado para ver si todavía está eliminado---- Aún eliminado----- Intente localizar el código parte, pero no se puede ubicar la parte del punto de entrada----modifíquela después de ubicarla----no elimine, continúe modificando el archivo original----continue con el paso 3

3 Ingrese las características en la tabla con precisión en las DLL, elimine las DLL una por una, elimine cada una y verifíquelas una vez, hasta que ya no esté marcada y elimine, averigüe la DLL a la que pertenece la característica.

(1) Eliminar solo una DLL sin verificar ------ Continúe directamente con el cuarto paso

(2) Eliminar varias DLL sin verificar ----- anote los nombres de todas las DLL características y ubíquelas una por una en el cuarto paso,

Por ejemplo, existen características en 1.DLL y 2.DLL, ubíquelas una por una en el cuarto paso,

( 3) Elimine varias DLL sin verificar ----- anote todas las funciones DLL. Los nombres se colocan uno por uno en el cuarto paso. DLL y 2.DLL, deben ubicarse uno por uno en el cuarto paso.

Por ejemplo, si la característica existe en 1.DLL y 2.DLL, entonces la característica existe en 1. DLL y 2.DLL Entonces las características existen en 1.DLL y 2.DLL.

Luego, en el cuarto paso

, primero haga una copia de seguridad del archivo, luego elimine 1.DLL, luego averigüe el nombre de la API que se eliminó en 2.DLL, registre

Después de eso, copie el archivo original, luego elimine 2.DLL y luego averigüe el nombre de la API que se eliminó en 1.DLL

, para que pueda encontrar todas las API que fueron eliminadas API.

4. Preciso para las características de la tabla de entrada de la API, primero haga una copia de seguridad del archivo, luego LordPE modifica el nombre de la API uno por uno, busque la DLL de acuerdo con 3, modifique la API una por una en el DLL, modifique cada uno y verifique uno por uno, hasta que no haya más comprobaciones. Hasta ahora, busque la API marcada

Al modificar una API, no hay registro de la API marcada. Copie un archivo de respaldo. , busque directamente la API y modifíquela. Si aún se elimina después de la modificación, lo que indica que hay otras API que se están verificando, luego continúe localizándolas de acuerdo con este método hasta encontrar

todas las API que están. siendo verificadas y eliminadas Si no se eliminan, entonces la API que registró es Todas las funciones

La API que se verifica y elimina es el código de función final en 5. Código de función final en 4, simplemente los manejas sin matarlos.

Si tiene código fuente, puede llamarlo directamente de forma dinámica.

Si no tiene código fuente, puede escribir código ensamblador para implementar la llamada dinámica o evitar la detección a través de otros. métodos

Resumen:

1. QVM y funciones de eliminación del motor en la nube

(1) API (muy probable)

(2) Recursos (posiblemente)

(3) Código (menos probable)

(4) Otras funciones

2. Si se marcan otras funciones, entonces es necesario. Fui a modificarlo porque hice un experimento interesante. Un archivo normal no es verificado por 360.

Pero le agregué una sección y luego no hice nada más que 360 ​​para verificar, en orden. Para reducir la tasa de falsas alarmas, esto no debe marcarse como una función.

Pero le agregué una columna y luego no hice nada, pero 360 tuvo que verificarla. Para reducir la tasa de falsas alarmas, esto no debe verificarse como una función.