现在
免杀越来越不好做了
特征码定位得十分刁钻今天我就来讲
讲如何对输入表进行免杀用到工具有WinHex LordPE OC我以PCSHARE
DLL文件为例这处是热瑞星特征码 0000D4F4_00000002 用WinHex打开可以看到定位在了输入表
上
=blogimg src="http://www.crazycoder.cn/WebFiles/20099/e2523c46-9cc7-4c38-bea5-8c59b9268221.jpg" border=0 small="0">我们用LoadPE大开看看
依次打开目录 输入表 找到名=blogimg src="http://www.crazycoder.cn/WebFiles/20099/74ef0090-b89b-43df-a099-7d7a1c61710a.jpg" border=0 small="0">我们将它复制
向下找到段空白区重新写入=blogimg src="http://www.crazycoder.cn/WebFiles/20099/aa199029-4d7d-4a58-83a7-4bdd1af72227.jpg" border=0 small="0">用00将原
名填充并记下新名文件偏移地址也就是0000DCA3,用OC将它转换成内存地址也就是1000ECA3.
=blogimg src="http://www.crazycoder.cn/WebFiles/20099/8b52fc56-9e30-4b58-85a8-9c4373463b7e.jpg" border=0 small="0">再到LORDPE中看看
名没有了=blogimg src="http://www.crazycoder.cn/WebFiles/20099/5c3b5b35-398e-4103-9699-01ba1e36690b.jpg" border=0 small="0">接下来给出个公式 内存地址=RAV+RAV基址
RAV基地址可以在LORDPE中看到.=blogimg src="http://www.crazycoder.cn/WebFiles/20099/88f08c54-b283-47ea-af1f-3cb7267869fa.jpg" border=0 small="0">所以1000ECA3=10000000+RAV ,RAV=0000ECA3,这时还要注意
输入表名前有两个空格所以RAV=0000ECA1.我们在LORDPE 中找到刚才名点右键编辑填入0000ECA1,=blogimg src="http://www.crazycoder.cn/WebFiles/20099/3b3144f7-9130-4a9d-86ec-6799fbcb4888.jpg" border=0 small="0">点确定
看看名恢复了=blogimg src="http://www.crazycoder.cn/WebFiles/20099/2f41c0fb-84b1-44dd-b371-2e4d3aec8916.jpg" border=0 small="0">保存后用这个生成服务端
正常上线=blogimg src="http://www.crazycoder.cn/WebFiles/20099/2fe7c634-cfc6-43ea-b7c8-45c50ca63132.jpg" border=0 small="0">至此输入表
免杀完成篇文章: 从 5方面简单解析Linux系统防火墙框架篇文章: 木马免杀的汇编花指令窍门技巧
最新评论