【3.A.S.T】网络安全爱好者's Archiver

黑客学习

Winmillion 发表于 2010-8-12 00:37

昨天把木马源码免杀过360,今天又被它通缉了...望免杀的大牛们指教!

昨天定位特征码对应的源码:
If Proce(StrToInt(PID))=(ConSa.sCopyTo+ConSa.sFileNameToCopy) Then   //PID被定为特征码
TerminateProce(hProce,0);   //TerminateProce被定为特征码
CrearThread;   //CrearThread自定过过程被定为特征码



今天定位特征码对应的源码:
ConSa.sPort:='80';   //sport被定为特征码
ClientSocket:=TClientSocket.Create(Nil);   //Create被定为特征码
ClientSocket.OnRead:=MainApplication.ClientSocketRead;   //Read被定为特征码

(我的Server是无窗体,没调用VCL控件,直接引用TClientSocket)



物理地址               虚拟偏移地址
000445C7_00000C05       004475C7
00044A3B_0000001E       00447A3B
00044A3B_00000020

OD载入:
004475C7   /71 19             jno short 1.004475E2

00447A3B    6300              arpl word ptr ds:[eax],ax

这次被定位到Server的核心代码,源码无法修改了,想用OD修改,望免杀的大牛们指教!

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.