|
|
最近刚刚学免杀,看了不少文章和教程,今天自己试了一下做360的免杀,发现了一些问题
特征码 物理地址物理长度 如下
[特征] 0000B3B8_000****0004 1
[特征] 0001FC24_000****0002 2
[特征] 00***50FA0_000****0002 3
[特征] 00***17A_000****0003 4
[特征] 000B520E_000****0002 5
[特征] 000B9A46_000****0002 6
第一个是程序的入口
我用00填充法和OD修改23***56处后,再次用MYCCL定位,结果只有 0000B3B8_000****0004 处存在特征码,说明23***56修改好了,而且修改后能上线
因为[特征] 0000B3B8_000****0004 是入口所以我没用00填充,而是用了入口加1和跳转法
0000B3B8_000****0004 入口代码如下
0040BFB8 > 5D push ebp ; kernel32.7C81***77
0040BFB9 8BEC mov ebp,esp
0040BFBB B9 080****0000 mov ecx,8
0040BFC0 6A 00 push 0
将第一句的 push ebp 改成 pop ebp 后能不能免杀!
再用跳转
0040BFBA E8 726EFFFF call 2010_6no.00***02E31
00***02E32 55 push ebp
00***02E33 90 nop
00***02E34 90 nop
00***02E35 8BEC mov ebp,esp
00***02E37 90 nop
00***02E38 90 nop
00***02E39 83E8 02 sub eax,2
00***02E3C 83E8 FE sub eax,-2
00***02E3F C3 retn
这样改了之后也不能免杀
我还试了这样子改了以后再改新入口为 00***02E32 也被杀了
现在已经想不出来更好的办法了,所以请大家指点迷经,本人很菜!
我再附上要面上的dat |
|
发表于 2010-8-24 17:18:30
