|
|
发表于 2009-4-17 12:07:33
|
显示全部楼层
|阅读模式
来自 广东省广州市番禺区
本帖最后由 24***06 于 2009-5-1 01:52 编辑
下载下来大致看了一下,教程有一个多小时的时间 。语音的,虽然没有标题说的那
么多特征但是也超过
100个特征码了
作者的操作速度较快,适合于对特征码修改有点基础的朋友观看。对特征修改才刚
开始学的朋友就有点困难了
复杂点的特征修改需要多看几遍,里面有很多特征修改的小技巧不错的!!
作者的快捷键使用
非常熟练,汇编操作功底较好。如果后一段教程不是赶时间做的
仓促,那教程一定堪称完美!
=============================================================
Codz1=H_00***00A76_00***00A79_000****0004_004****1676 CALL的地址前移两字节
Codz2=H_00***06DE4_00***06DE7_000****0004_00***79E4 push ecx移到断尾,特征处上移
Codz3=H_0002D0CA_0002D0CD_000****0004_0042DCCA test改add
Codz4=H_00***17E6_00***17F5_000****0010_00***23E6 通用跳转 call 0040A178
Codz5=H_0005CAA7_0005CAAA_000****0004_0045D6A7 上下移位
Codz6=H_0005CD29_0005CD2C_000****0004_0045D929 je改ja
Codz7=H_0005CDDD_0005CDE0_000****0004_0045D9DD 与下面换位
Codz8=H_0005FBDD_0005FBE0_000****0004_00***07DD cmp改test
Codz9=H_0005FF37_0005FF3A_000****0004_00***60B37 test改add
Codz10=H_00***53E_000****0541_000****0004_00***13E 上下移位
Codz11=H_0006AFB4_0006AFB7_000****0004_0046BBB4 test改add
Codz12=H_00***35EC_00***35EF_000****0004_00***41EC LOGTOSCREEN=字串前移,MOV-1
Codz13=H_0007DA00_0007DA03_000****0004_0047E600 上下移位
Codz14=H_0007F800_0007F803_000****0004_004****0400 改大小写
Codz15=H_00***84ADA_00***84ADD_000****0004_000A1248 00***56DA上下移位
Codz16=H_0008B422_0008B425_000****0004_0048C022 上下移位
Codz17=H_00***91C23_00***91C26_000****0004_004****2823 add +改 sub - 上下移位
Codz18=H_00***33FB_00***33FE_000****0004_00***93FFB 上下移位
Codz19=H_00***94B30_00***94B3F_000****0010_004****5730 add 改sub - 上下移位
Codz20=H_00***73E9_00***73EC_000****0004_00***97FE9 mov eax,800****0020 改为 push
800****0020 pop eax
Codz21=H_00***47E_000****9481_000****0004_0049A07E test=
add
Codz22=H_0009A532_0009A535_000****0004_0049B132 test = add
Codz23=H_0009A677_0009A67A_000****0004_0049B277 test = add
Codz24=H_0009A763_0009A766_000****0004_0049B363 test = add
Codz25=H_0009A878_0009A87A_000****0003_0049B478 push 0 直接NOP
Codz26=H_0009A8D3_0009A8D6_000****0004_0049B4D3 test = add
Codz27=H_0009A990_0009A993_000****0004_0049B590 字符串后移,调用位置+1
Codz28=H_0009AB39_0009AB3C_000****0004_0049B739 test=add
Codz29=H_0009AB61_0009AB64_000****0004_0049B761 test=add
Codz30=H_0009AD0A_0009AD0D_000****0004_0049B90A test=add
Codz31=H_0009B52A_0009B52D_000****0004_0049C12A test=add
Codz32=H_0009B559_0009B55C_000****0004_0049C159 jnz=ja
Codz33=H_0009B587_0009B58A_000****0004_0049C187 test=add
Codz34=H_0009B5C2_0009B5C5_000****0004_0049C1C2 test=add
Codz35=H_0009B7D5_0009B7D7_000****0003_0049C3D5 上下换位
Codz36=H_0009B911_0009B914_000****0004_0049C511 test=add
Codz37=H_0009B922_0009B925_000****0004_0049C522 test=add
Codz38=H_0009B961_0009B964_000****0004_0049C561 test=add
Codz39=H_0009BBB4_0009BBB7_000****0004_0049C7B4 字符串前移,调用位置-1
Codz40=H_0009C73D_0009C740_000****0004_0049D33D cmp=test
Codz41=H_0009CBB9_0009CBBC_000****0004_0049D7B9 test
ebx,ebx改与eax,并与上
面一行换位
Codz42=H_0009CBDF_0009CBE6_000****0008_0049D7DF
直接nop
Codz43=H_0009DC3D_0009DC3E_000****0002_0049E83D 下面跳转NOP掉,整体下移
Codz44=H_0009E438_0009E43B_000****0004_0049F038 test=add
Codz45=H_0009E5A7_0009E5AA_000****0004_0049F1A7 test=add
Codz46=H_0009E5BB_0009E5BE_000****0004_0049F1BB test=add
Codz47=H_0009EAF5_0009EAF8_000****0004_0049F6F5 test=add
Codz48=H_0009EC41_0009EC44_000****0004_0049F841 上下换位
Codz49=H_0009F3F3_0009F3F6_000****0004_0049FFF3 下面的xor eax,eaxNOP掉,整体
下移
Codz50=H_0009F5A4_0009F5A7_000****0004_004A01A4 通用跳转
Codz51=H_0009F5B7_0009F5BA_000****0004_004A01B7 test=add
Codz52=H_0009F766_0009F769_000****0004_004A0366 +1
Codz53=H_000A0A44_000A0A47_000****0004_004A1644 nop
Codz54=H_000A0DB5_000A0DB8_000****0004_004A19B5 test=add
Codz55=H_000A0DCF_000A0DD2_000****0004_004A19CF 上下换位(不能自删除)
Codz56=H_000A129F_000A12A2_000****0004_004A1E9F 下面的testNOP,特征码下移
Codz57=H_000A12A5_000A12A8_000****0004_004A1EA5 test=add
Codz58=H_000A1400_000A1403_000****0004_004A2000 通用跳转
Codz59=H_000A14C0_000A14C3_000****0004_004A20C0 隐身 灰鸽子远程控制服务端安
装成功
瑞星瑞星瑞星瑞星瑞星瑞
星瑞星
Codz60=H_000B1800_000B1803_000****0004_004B8000 NOP
Codz61=H_000B9650_000B9657_000****0008_004C0A50 +1
Codz62=H_000B99FA_000B9A03_00***00A_000A1248 字符串替换
重新定位
特征码
物理地址/物理长度 如下:
[特征] 0009A335_0049AF35 je=jbe
[特征] 0009B55B_0049C15B 全部NOP
特征码 物理地址/物理长度 如下:
[特征] 00***84ADC_00***56DC
[特征] 0009F5A6_004A01A6
[特征] 0009A335_00***49AF35
生成后:
特征码 物理地址/物理长度 如下:
[特征]
000B2871_004B9C71 搜索hacker 改成yaojun
生成的服务端资源名hacker改成yaojun
[特征]
000B8C02_004C0002 添加瑞星版权
内存
特征码 物理地址/物理长度 如下:
[特征]
0006D2D8_0046DED8 ASCII替换
[特征] 0009ADF4_0049B9F4 后移
[特征]
000A1589_004A2189 大小写
[特征] 000A5B16_004A9916 CreateProcessA
kernel32.dll移位a5b9e
[特征] 000A5BAC_004A99AC WNetOpenEnumA
mpr.dll 移位a5b0d
[特征] 000A6F2A_000****0002 InternetOpenUrlA winnet 移位
a6f2b
[特征] 000A6F3E_000****0002 InternetOpenA
移位 a6f1d
反向
00***62C 00***22C
Software\Borland 后移两位,并改调用位置
主动:
特征码 物理地址/物理长度 如下:
[特征]
0005FFCE_00***60BCE 正在查找错误信息 瑞星瑞星瑞星瑞星
[特征] 000****2027_00***62C27 Video.avi wma
[特征] 000A7454_004AB254 capCreateCaptureWindowA A改W
MessageBoxA
MessageBoxW
江民表面
特征码 物理地址/物理长度 如下:
[特征]
0005FE02_00***60A02 空的远程地址 江民江民江民
[特征]
0009A937_0049B537 自动上线主机 江民江民江民
[特征]
0009AA37_0049B637 插件没有返回数据 江民江民江民江民
[特征] 0009E551_0049F151
没有发现共享信息! 江民江民江民江民?
[特征] 0009F6C7_004A02C7 nop
[特征] 000A12F4_004A1EF4
CALL地址-2,代码NOP
[特征] 000A130A_004A1F0A CALL地址-2,代码NOP
[特征]
000A7195_004AAF95 sendto wsock32.dll 移动PE(最后弄)
[特征]
000A71BB_004AAFBB recv wsock32.dll
金山
[特征]0005FC81_000****0002主机查找已取消 金山金山金山金
[特征]000A1249_004A1E49 跨区段跳
[特征]000A1257_004A1E57 跨区段跳
[特征]000A1357_004A1F57
零代码004****3804
[特征]000A3394_004A4D94 上下换
生成后
特征码物理地址/物理长度如下:
[特征]000B9B7A_004C0F7A PE的128字节处加90
卡巴
特征码 物理地址/物理长度 如下:
[特征] 000A759E_000****0002
[特征] 000B85AC_000****0002
[特征] 000B9C1A_000****0002
特征码 物理地址/物理长度 如下:
[特征] 000A0911_000****0004
[特征] 000A099B_000****0004
[特征] 000A0B27_000****0002
[特征] 000A1244_00***02C
瑞星又多了一处。:
[特征]
000A14A8_004A20A8
特征为:
004A20A5 . BA 8C214A00
mov edx,CServer.004A218C
;
4a218c处是:software\microsoft\windows\currentversion\run
把字串后移了,MOV值+1就可以了。
迅雷下载:
第一部分:
thunder://QUFodHRwOi8vYXR0YWNobWVudHMuamtzaW5nLmNvbS9kb3duLnBocD9pZD00Mjd
aWg==
第二部分:
thunder://QUFodHRwOi8vYXR0YWNobWVudHMuamtzaW5nLmNvbS9kb3duLnBocD9pZD00Mjh
aWg== |
|
