【3.A.S.T】网络安全爱好者's Archiver

黑客学习

wlfjck 发表于 2008-7-23 08:27

[讨论]Bitfrost1.2.1修改瑞星特征码免杀遇到的问题

[讨论]Bitfrost1.2.1修改瑞星特征码免杀遇到的问题
议题作者:shaqiandao
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])

如何修改Bitfrost1.2.1遇到的两处特征码?
本人在尝试修改Bitfrost1.2.1瑞星特征码的时候发现两处特征码的修改很是棘手。
---------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0000163E_00000002-0040223E    //第一处
[特征] 000016C1_00000003-004022C1    //第二处
用OD载入:
0040223A    2A53 F6            sub dl,byte ptr ds:[ebx-A]
0040223D    BC BF15F2EF        mov esp,EFF215BF    //第一处
00402242    CD 57              int 57
=============================================
004022B9   /7A 44              jpe short server.004022FF
004022BB   |20FB               and bl,bh
004022BD   |F715 8DF7753A      not dword ptr ds:[3A75F78D]    //第二处
004022C3   |C06A DE 6D         shr byte ptr ds:[edx-22],6D
004022C7   |8345 47 7B         add dword ptr ss:[ebp+47],7B
004022CB   |C3                 retn
==============================================
两处特征用无条件转移,调换指令,加减1,的方法均无效。
小弟不才,没学过汇编,这几句指令的意思不懂,更别说如何修改。

不知道有哪位大虾看过后指点迷津(最好能详细一点),深表感谢。[img]http://forum.eviloctal.com/images/smilies/default/smile.gif[/img]
帖子1 精华[url=http://forum.eviloctal.com/digest.php?authorid=158607]0[/url] 积分3 阅读权限40 性别男 在线时间1 小时

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.