段时间直比较郁闷,PcShare
个问题直困扰着我:做Pc
免杀DLL文件已过瑞星可是运行后声成
DLL文件却被杀对被杀
DLL定位特征码在最后"."上这个问题我问过很多人,但是都没有得到理想
答案,我几乎已经放弃这个问题了,可是昨天在PCSHARE网站WebSite上看到了PCSHARE作者冰雨QQ,就问了他,真没想到居然到了他耐心指导,这才知道原来是特征码定位在了附加数据上,按他指导找到个教程,终于解决了这个问题, 我简单说
下过程,我免杀是黑X专版PCSHARE,首先将UPDATE文件夹下文件PcInit.exe PcMain.dll PcHide.sys免杀,生成个服务端,用OD载入找到004014A9,将这段用NOP填充,运行填充后服务端,在windows\system32
文件夹下找到释放
DLL文件这个DLL文件只有配置信息,用C32AM打开将代码全部复制,粘贴在免杀后PcMain.dll后再重新生成个服务端,用OD载入,跳到004014D3,将这段代码填充掉,运行即可多过瑞星查杀.
此外在免杀数据代码时参照了 夜苦寒
"DLL重定位的数据段ASCII
串恢复[语音]"教程,在此表示感谢.来源:Lupin's Security Blog
篇文章: 网站WebSite脚本注入漏洞带来危害及防御篇文章: Bat打造CMD命令速查手册
最新评论