雷人,原版黑防鸽子过 瑞星 江民 金山(手工修改150多处特征修改)
本帖最后由 240106 于 2009-5-1 01:52 编辑下载下来大致看了一下,教程有一个多小时的时间 。语音的,虽然没有标题说的那
么多特征但是也超过
100个特征码了
作者的操作速度较快,适合于对特征码修改有点基础的朋友观看。对特征修改才刚
开始学的朋友就有点困难了
复杂点的特征修改需要多看几遍,里面有很多特征修改的小技巧不错的!!
作者的快捷键使用
非常熟练,汇编操作功底较好。如果后一段教程不是赶时间做的
仓促,那教程一定堪称完美!
=============================================================
Codz1=H_00000A76_00000A79_00000004_00401676CALL的地址前移两字节
Codz2=H_00006DE4_00006DE7_00000004_004079E4push ecx移到断尾,特征处上移
Codz3=H_0002D0CA_0002D0CD_00000004_0042DCCAtest改add
Codz4=H_000317E6_000317F5_00000010_004323E6通用跳转 call 0040A178
Codz5=H_0005CAA7_0005CAAA_00000004_0045D6A7上下移位
Codz6=H_0005CD29_0005CD2C_00000004_0045D929je改ja
Codz7=H_0005CDDD_0005CDE0_00000004_0045D9DD与下面换位
Codz8=H_0005FBDD_0005FBE0_00000004_004607DDcmp改test
Codz9=H_0005FF37_0005FF3A_00000004_00460B37test改add
Codz10=H_0006053E_00060541_00000004_0046113E 上下移位
Codz11=H_0006AFB4_0006AFB7_00000004_0046BBB4 test改add
Codz12=H_000735EC_000735EF_00000004_004741EC LOGTOSCREEN=字串前移,MOV-1
Codz13=H_0007DA00_0007DA03_00000004_0047E600 上下移位
Codz14=H_0007F800_0007F803_00000004_00480400 改大小写
Codz15=H_00084ADA_00084ADD_00000004_000A1248004856DA上下移位
Codz16=H_0008B422_0008B425_00000004_0048C022 上下移位
Codz17=H_00091C23_00091C26_00000004_00492823 add +改 sub - 上下移位
Codz18=H_000933FB_000933FE_00000004_00493FFB 上下移位
Codz19=H_00094B30_00094B3F_00000010_00495730 add 改sub - 上下移位
Codz20=H_000973E9_000973EC_00000004_00497FE9 mov eax,80000020 改为 push
80000020 pop eax
Codz21=H_0009947E_00099481_00000004_0049A07E test=
add
Codz22=H_0009A532_0009A535_00000004_0049B132 test = add
Codz23=H_0009A677_0009A67A_00000004_0049B277 test = add
Codz24=H_0009A763_0009A766_00000004_0049B363 test = add
Codz25=H_0009A878_0009A87A_00000003_0049B478 push 0 直接NOP
Codz26=H_0009A8D3_0009A8D6_00000004_0049B4D3 test = add
Codz27=H_0009A990_0009A993_00000004_0049B590 字符串后移,调用位置+1
Codz28=H_0009AB39_0009AB3C_00000004_0049B739 test=add
Codz29=H_0009AB61_0009AB64_00000004_0049B761 test=add
Codz30=H_0009AD0A_0009AD0D_00000004_0049B90A test=add
Codz31=H_0009B52A_0009B52D_00000004_0049C12A test=add
Codz32=H_0009B559_0009B55C_00000004_0049C159 jnz=ja
Codz33=H_0009B587_0009B58A_00000004_0049C187 test=add
Codz34=H_0009B5C2_0009B5C5_00000004_0049C1C2 test=add
Codz35=H_0009B7D5_0009B7D7_00000003_0049C3D5 上下换位
Codz36=H_0009B911_0009B914_00000004_0049C511 test=add
Codz37=H_0009B922_0009B925_00000004_0049C522 test=add
Codz38=H_0009B961_0009B964_00000004_0049C561 test=add
Codz39=H_0009BBB4_0009BBB7_00000004_0049C7B4 字符串前移,调用位置-1
Codz40=H_0009C73D_0009C740_00000004_0049D33D cmp=test
Codz41=H_0009CBB9_0009CBBC_00000004_0049D7B9 test
ebx,ebx改与eax,并与上
面一行换位
Codz42=H_0009CBDF_0009CBE6_00000008_0049D7DF
直接nop
Codz43=H_0009DC3D_0009DC3E_00000002_0049E83D 下面跳转NOP掉,整体下移
Codz44=H_0009E438_0009E43B_00000004_0049F038 test=add
Codz45=H_0009E5A7_0009E5AA_00000004_0049F1A7 test=add
Codz46=H_0009E5BB_0009E5BE_00000004_0049F1BB test=add
Codz47=H_0009EAF5_0009EAF8_00000004_0049F6F5 test=add
Codz48=H_0009EC41_0009EC44_00000004_0049F841 上下换位
Codz49=H_0009F3F3_0009F3F6_00000004_0049FFF3 下面的xor eax,eaxNOP掉,整体
下移
Codz50=H_0009F5A4_0009F5A7_00000004_004A01A4 通用跳转
Codz51=H_0009F5B7_0009F5BA_00000004_004A01B7 test=add
Codz52=H_0009F766_0009F769_00000004_004A0366 +1
Codz53=H_000A0A44_000A0A47_00000004_004A1644 nop
Codz54=H_000A0DB5_000A0DB8_00000004_004A19B5 test=add
Codz55=H_000A0DCF_000A0DD2_00000004_004A19CF 上下换位(不能自删除)
Codz56=H_000A129F_000A12A2_00000004_004A1E9F 下面的testNOP,特征码下移
Codz57=H_000A12A5_000A12A8_00000004_004A1EA5 test=add
Codz58=H_000A1400_000A1403_00000004_004A2000通用跳转
Codz59=H_000A14C0_000A14C3_00000004_004A20C0 隐身 灰鸽子远程控制服务端安
装成功
瑞星瑞星瑞星瑞星瑞星瑞
星瑞星
Codz60=H_000B1800_000B1803_00000004_004B8000 NOP
Codz61=H_000B9650_000B9657_00000008_004C0A50 +1
Codz62=H_000B99FA_000B9A03_0000000A_000A1248 字符串替换
重新定位
特征码
物理地址/物理长度 如下:
[特征] 0009A335_0049AF35 je=jbe
[特征] 0009B55B_0049C15B 全部NOP
特征码 物理地址/物理长度 如下:
[特征] 00084ADC_004856DC
[特征] 0009F5A6_004A01A6
[特征] 0009A335_00049AF35
生成后:
特征码 物理地址/物理长度 如下:
[特征]
000B2871_004B9C71 搜索hacker 改成yaojun
生成的服务端资源名hacker改成yaojun
[特征]
000B8C02_004C0002 添加瑞星版权
内存
特征码 物理地址/物理长度 如下:
[特征]
0006D2D8_0046DED8 ASCII替换
[特征] 0009ADF4_0049B9F4 后移
[特征]
000A1589_004A2189 大小写
[特征] 000A5B16_004A9916 CreateProcessA
kernel32.dll移位a5b9e
[特征] 000A5BAC_004A99AC WNetOpenEnumA
mpr.dll 移位a5b0d
[特征] 000A6F2A_00000002 InternetOpenUrlA winnet移位
a6f2b
[特征] 000A6F3E_00000002 InternetOpenA
移位a6f1d
反向
00562C 0040622C
Software\Borland 后移两位,并改调用位置
主动:
特征码 物理地址/物理长度 如下:
[特征]
0005FFCE_00460BCE 正在查找错误信息 瑞星瑞星瑞星瑞星
[特征] 00062027_00462C27 Video.avi wma
[特征] 000A7454_004AB254 capCreateCaptureWindowA A改W
MessageBoxA
MessageBoxW
江民表面
特征码 物理地址/物理长度 如下:
[特征]
0005FE02_00460A02 空的远程地址 江民江民江民
[特征]
0009A937_0049B537 自动上线主机 江民江民江民
[特征]
0009AA37_0049B637 插件没有返回数据江民江民江民江民
[特征] 0009E551_0049F151
没有发现共享信息! 江民江民江民江民?
[特征] 0009F6C7_004A02C7 nop
[特征] 000A12F4_004A1EF4
CALL地址-2,代码NOP
[特征] 000A130A_004A1F0A CALL地址-2,代码NOP
[特征]
000A7195_004AAF95sendto wsock32.dll 移动PE(最后弄)
[特征]
000A71BB_004AAFBBrecv wsock32.dll
金山
[特征]0005FC81_00000002主机查找已取消 金山金山金山金
[特征]000A1249_004A1E49 跨区段跳
[特征]000A1257_004A1E57 跨区段跳
[特征]000A1357_004A1F57
零代码00443804
[特征]000A3394_004A4D94 上下换
生成后
特征码物理地址/物理长度如下:
[特征]000B9B7A_004C0F7A PE的128字节处加90
卡巴
特征码 物理地址/物理长度 如下:
[特征] 000A759E_00000002
[特征] 000B85AC_00000002
[特征] 000B9C1A_00000002
特征码 物理地址/物理长度 如下:
[特征] 000A0911_00000004
[特征] 000A099B_00000004
[特征] 000A0B27_00000002
[特征] 000A1244_0000002C
瑞星又多了一处。:
[特征]
000A14A8_004A20A8
特征为:
004A20A5 .BA 8C214A00
mov edx,CServer.004A218C
;
4a218c处是:software\microsoft\windows\currentversion\run
把字串后移了,MOV值+1就可以了。
迅雷下载:
第一部分:
thunder://QUFodHRwOi8vYXR0YWNobWVudHMuamtzaW5nLmNvbS9kb3duLnBocD9pZD00Mjd
aWg==
第二部分:
thunder://QUFodHRwOi8vYXR0YWNobWVudHMuamtzaW5nLmNvbS9kb3duLnBocD9pZD00Mjh
aWg== 不错哦`
拿了! 改了后还叫原版? 我里娘啊~~150强悍 好东西。不错支持 学习~~~ 来学习来了!~~ 真的假的啊。看看说 kankanka 强悍,150处,不过现在好像不过了