首页 › 网安技术 › 求解特征码在程序入口处免杀法

haijiao 发表于 2010-8-24 17:18:30

求解特征码在程序入口处免杀法

最近刚刚学免杀，看了不少文章和教程，今天自己试了一下做360的免杀，发现了一些问题

特征码 物理地址物理长度 如下
[特征] 0000B3B8_00000004                        1
[特征] 0001FC24_00000002                        2
[特征] 00050FA0_00000002                        3
[特征] 0009517A_00000003                        4
[特征] 000B520E_00000002                           5
[特征] 000B9A46_00000002                           6
第一个是程序的入口
我用00填充法和OD修改23456处后，再次用MYCCL定位，结果只有0000B3B8_00000004   处存在特征码，说明23456修改好了，而且修改后能上线
因为[特征] 0000B3B8_00000004            是入口所以我没用00填充，而是用了入口加1和跳转法
0000B3B8_00000004      入口代码如下
0040BFB8 >5D               push ebp                                          ; kernel32.7C817077
0040BFB9    8BEC             mov ebp,esp
0040BFBB    B9 08000000      mov ecx,8
0040BFC0    6A 00            push 0
将第一句的 push ebp 改成 pop ebp后能不能免杀！
再用跳转
0040BFBA    E8 726EFFFF      call 2010_6no.00402E31
00402E32    55               push ebp
00402E33    90               nop
00402E34    90               nop
00402E35    8BEC             mov ebp,esp
00402E37    90               nop
00402E38    90               nop
00402E39    83E8 02          sub eax,2
00402E3C    83E8 FE          sub eax,-2
00402E3F    C3               retn
这样改了之后也不能免杀
我还试了这样子改了以后再改新入口为 00402E32 也被杀了
现在已经想不出来更好的办法了，所以请大家指点迷经，本人很菜！
我再附上要面上的dat

weihua39 发表于 2010-8-25 11:48:13

购物达人网是中国领先的网上导购平台，是白领女性购买时尚女装，时尚首饰，精品鞋包，美容护肤，手机数码，居家生活，母婴用品，食品保健的首选。正品行货，天天低价，千万种商品任您选择，更多精彩尽在购物达人网。详情请点击http://www.shopping39.com

魅力飞 发表于 2010-8-25 15:11:12

了解拉，还行！

wangmei 发表于 2010-8-25 18:06:29

了解拉，还行！

wangmei 发表于 2010-8-25 19:34:31

关注一下拉·很不错哦

如英随行 发表于 2010-8-26 08:45:22

瞧瞧了先，不错！

小冰冰 发表于 2010-8-26 09:48:29

为了完成任务，大家都要没事出来溜达一下啊。

seo精灵 发表于 2010-8-26 10:41:51

谢谢 分享 很好

seojl 发表于 2010-8-26 11:50:16

顶顶了，很不错哦~

haijiao 发表于 2010-8-26 12:16:30

谢谢大家关心，但是有没有人提供一点方法呢？

查看完整版本: 求解特征码在程序入口处免杀法