----------------------------------------------------------------新世纪网安动画投稿方式:
投稿方法一:
FTP://www.520hack.com
账号:520hack 密码:520hack
投稿方法二:
邮箱: www520hack@126.com
投稿收录奖励情况详见:http://bbs.520hack.com/read.php?tid=81824
--------------------------------------------------------------
首先,推荐大家去“新世纪网安基地”学习,那里确实是个很不错的地方,能学到不少知识
大家好,我是ForXuan,今天的教程是《无壳PCSHARE改特征过10大杀软》
首先看下PCSHARE生成时用的三个文件EXE、DLL、SYS,先查下毒。
卡巴、金山、NOD32、AVG、AVAST、江民、麦咖啡、诺顿
上面这些全过,就瑞星这周更新后杀DLL,今天我们就来解决它,定位瑞星的特征码相信大家都会了,用MYCCL一步步的去定位就可以了,我就不浪费大家的时间了,特征码我已经定位出来了。
[特征] 00007D83_00000001 10008983
这处是个跳转,如果改的话,键盘记录功能就不能用了,那我们改它的上一句
[特征] 000080DA_00000001 10008CDA
这处也是个跳转,一般看到跳转大家想的就是如何去用相同的指令替代它,但我们看它的上一句xor eax,eax 这句明显是个没有作用的指令,而且这句跳转是个没有实现的,那我们就把它们上下互换
[特征] 000092CA_00000001 10009ECA
[特征] 0000A50C_00000001 1000B10C
我们载入OD来修改
现在再来查下毒 不杀了
为了测试我们修改的正确性,把瑞星的监控全开(包括主动防御)来运行下我们的木马。
上线了,看下功能有没有被我们改丢fgfgfgf
没问题,说明我们这样改是可行的,大家在改特征码的时候可以变通一下,不要一看到跳转就想着怎么去替代它,可以先分析下它上下的代码,然后再决定怎么去修改。
|
