闲着无事,下载了瑞星2007版本,发现我以前做的免杀服务端已经再次被干掉了
手工修改输入表免杀
灰鸽子2006键盘记录dll文件免杀瑞星2007
使用工具:
1、OllyICE
2、multiCCL
3、c32asm
4、oc
于是拿起OD回顾原来的知识,再次修改成免杀版本.
首先从灰鸽子2006的键盘记录文件开始吧
由于我的以前做的免杀都是通过特征码修改,所以再次修改的时候只要再次定位新的特征码修改了就Ok了
我们开始吧,首先,在文件上点右键使用瑞星查杀,呵呵 杀掉了(当然这些垃圾的内容我就不做到动画里面了)
文件特征码的定位我还是非常喜欢用multiCCL的,方便快捷!
定位的过程就忽略了
第一次定位的结果是
Codz1=H_0000E205_0000E208_00000004_0000B9A4
察看一下是什么东西
文件最末尾的内容,我的经验是没有改过这个地方特征码的,很难修改
如果你细心看过multiCCL的说明文档的话就会知道multiCCL定位方式是从文件的末尾开始一直到找到第一个能免杀特征码,既然这个我们不会修改,就把它保护起来,接着定位
保护也很简单,在Except.txt 里面有很明白的说明
2=把需要保护的特征码片段(或区域)加到以下的 ExceptN 键的键值中,N 从1开始依次递增。
3=片段的格式是 H_xxxxxxxx_yyyyyyyy_00000000_00000000_
4=x为片段的起始端偏移,y为结尾端偏移,每个域用八位的十六进制值。且四个域一个都不能少
5=把需要保护的特征码片段的数量写到 ExceptTotal 的键值中,这个片段数用的是十进制。
6=其他地方就不要动了,尤其不要动isexist字段里的东西。
接着定位定出来
Codz2=H_0000E1C1_0000E1C4_00000004_0000B9A4第二个特征码是这个地方,还是不爽,再保护
Codz3=H_0000D046_0000D049_00000004_0000B9A4是字符串,再保护一下接着定位
Codz4=H_0000CF2A_0000CF2D_00000004_0000B9A4 定位到了这里,到了dll的输入表段了
不想再定位下去了,就在这里改吧,如果你有兴趣可以接着保护起来定位看看还有没有别的特征码
您现在的位置: