做Pc免杀DLL文件已过瑞星
可是运行后声成DLL文件却被杀
对被杀DLL定位特征码在最后"."上
这个问题我问过很多人,但是都没有得到理想答案,我几乎已经放弃这个问题了,可是昨天在PCSHARE网站WebSite上看到了PCSHARE作者冰雨QQ,就问了他,真没想到居然到了他耐心指导,这才知道原来是特征码定位在了附加数据上,按他指导找到个教程,终于解决了这个问题,
我简单说下过程,我免杀是黑X专版PCSHARE,首先将UPDATE文件夹下文件PcInit.exe PcMain.dll PcHide.sys免杀,生成个服务端,用OD载入找到004014A9,将这段用NOP填充,运行填充后服务端,在windows\system32
文件夹下找到释放DLL文件这个DLL文件只有配置信息,用C32AM打开将代码全部复制,粘贴在免杀后PcMain.dll后再重新生成个服务端,用OD载入,跳到004014D3,将这段代码填充掉,运行即可多过瑞星查杀.
此外在免杀数据代码时参照了 夜苦寒"DLL重定位的数据段ASCII串恢复[语音]"教程,在此表示感谢.
来源:Lupin's Security Blog
最新评论