[讨论]给PS定位特征码的时候遇见的怪事
[讨论]给PS定位特征码的时候遇见的怪事议题作者:sniper
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])
刚才给pcshare定位喀吧6.0下的特征码,update目录下的那三文件,exe倒好过,找到位置后一个jmp就搞定。DLL和EXE定位出来的特征码却然我感觉有点匪夷所思了:
dll
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 00000000 00000010 00000010
0002 00000030 00000010 00000040
0003 000000F0 00000020 00000110
0001 00000120 00000002 00000122
0001 000001FC 00000002 000001FE
0002 00000204 00000002 00000206
~~~~~~~~~~~~~~~~~~~
sys
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 00000000 00000002 00000002
0002 0000003C 00000002 0000003E
0001 000000D0 00000002 000000D2
0002 000000D6 00000002 000000D8
0003 000000E4 00000002 000000E6
0004 000000F8 00000002 000000FA
这2个文件的特征码定位出来竟然全部这么靠前,这貌似就没法改了呀。。。你随便动哪一下那出的问题可都不一般了,直接无效的PE文件啊。以前很少接触免杀这方面,最近才接触,烦请各位达人指教:如何修改这类的特征码来pass喀吧。
帖子92 精华[url=http://forum.eviloctal.com/digest.php?authorid=830]4[/url] 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=830]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=兼职&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]赚更多的钱[/url]
[url=http://forum.eviloctal.com/space-uid-129742.html]赐我一败[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 位于什么区段的, 把相应的汇编代码发出来看下.....
帖子3 精华[url=http://forum.eviloctal.com/digest.php?authorid=129742]0[/url] 积分13 阅读权限40 在线时间22 小时 注册时间2007-7-2 最后登录2008-1-2 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=129742]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-74957.html]天堂夜色[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 00000030 00000010 00000040
0003 000000F0 00000020 00000110
0001 00000120 00000002 00000122
这些是不是在PE文件头的位置呀?如果是,听说在现在有一个什么PE文件头移位的方法,(只是听说,我也没有做过)
帖子14 精华[url=http://forum.eviloctal.com/digest.php?authorid=74957]0[/url] 积分25 阅读权限40 性别男 在线时间2 小时 注册时间2007-1-26 最后登录2008-6-26 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=74957]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]
[url=http://forum.eviloctal.com/space-uid-830.html]sniper[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] WINHEX打开那个DLL的图在附件。特征码就全部是在文件头那里。
附件
[img]http://forum.eviloctal.com/images/attachicons/image.gif[/img][url=http://forum.eviloctal.com/attachment.php?aid=1333¬humb=yes]1.GIF[/url] (25 KB)
2008-1-3 11:09
1
[img]http://forum.eviloctal.com/attachments/Mon_0801/9_830_ffa27195680799c.gif[/img]
帖子92 精华[url=http://forum.eviloctal.com/digest.php?authorid=830]4[/url] 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=830]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-154876.html]xxfish[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 移动下PE头测试是否可以免杀,如果不免杀,那么说明你定位的错误,因为现在的杀毒软件并非之前的杀毒软件,基本上都做了一些反定位措施,你可以跳过PE头从代码段开始定位。。
帖子31 精华[url=http://forum.eviloctal.com/digest.php?authorid=154876]0[/url] 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=154876]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]
[url=http://forum.eviloctal.com/space-uid-830.html]sniper[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 移了PE,免杀了,但是文件被我改坏了。。。。不知道什么原因
帖子92 精华[url=http://forum.eviloctal.com/digest.php?authorid=830]4[/url] 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=830]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=干洗店加盟&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]少女暴富的隐秘(图)[/url]
[url=http://forum.eviloctal.com/space-uid-47357.html]hitlerboy[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 自己重写pe头
帖子79 精华[url=http://forum.eviloctal.com/digest.php?authorid=47357]0[/url] 积分274 阅读权限40 性别男 在线时间182 小时 注册时间2006-5-7 最后登录2008-4-11 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=47357]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-154876.html]xxfish[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] ......你移动的是否正确...
帖子31 精华[url=http://forum.eviloctal.com/digest.php?authorid=154876]0[/url] 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=154876]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-830.html]sniper[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 不知道是否正确啊。。。。。有没有相关动画一类的,第一次移PE,非常有可能是操作错误
帖子92 精华[url=http://forum.eviloctal.com/digest.php?authorid=830]4[/url] 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=830]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-154876.html]xxfish[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 我给黑客防线做免杀课程有修改PE头类课程,不过是vip课程....... 你加我qq4159175我给你看下是否正确... 其实就是移动下整个PE头然后修改下IMAGE_DOS_HEADER结构e_lfanew域..
帖子31 精华[url=http://forum.eviloctal.com/digest.php?authorid=154876]0[/url] 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=154876]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-122864.html]上帝在堕落[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 我在瑞星下作鸽子免杀的时候也有特征在PE头上,绕不过去。。赠人玫瑰,手留余香。
[url=http://wpa.qq.com/msgrd?V=1&Uin=114090&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子41 精华[url=http://forum.eviloctal.com/digest.php?authorid=122864]0[/url] 积分131 阅读权限40 性别男 在线时间65 小时 注册时间2007-5-21 最后登录2008-6-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=122864]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-141181.html]7个b[/url] [img]http://forum.eviloctal.com/images/avatars/14.gif[/img]
晶莹剔透§烈日灼然 to:上帝在堕落
什么版本的鸽子?
我试过免杀07的鸽子DLL文件,被瑞星定义的第三处特征码就在PE头附加的指令...
无论用什么方法,那条汇编指令一但改变,文件就无法正常被加载...
帖子35 精华[url=http://forum.eviloctal.com/digest.php?authorid=141181]0[/url] 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=141181]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-128469.html]silenceshell[/url] [img]http://forum.eviloctal.com/images/avatars/pw/mon4.gif[/img]
晶莹剔透§烈日灼然 现在给鸽子做免杀是个天煞的事情..show more..
[url=http://wpa.qq.com/msgrd?V=1&Uin=18354500&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子35 精华[url=http://forum.eviloctal.com/digest.php?authorid=128469]0[/url] 积分111 阅读权限40 在线时间65 小时 注册时间2007-6-22 最后登录2008-7-15 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=128469]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-830.html]sniper[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 最近感冒了,很严重。。而且也比较忙。等空了再请教fish同志吧。
PS:我加FISH的QQ了,我可能在你陌生人里面
帖子92 精华[url=http://forum.eviloctal.com/digest.php?authorid=830]4[/url] 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=830]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-154876.html]xxfish[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] ....你给我说句话,注明邪八就行了。不然我很少说话的.... 呵呵 祝你早日康复...
帖子31 精华[url=http://forum.eviloctal.com/digest.php?authorid=154876]0[/url] 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=154876]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-48260.html]yzx65[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 可以反向定位。。开始的位置不一定要在E0。可以从第一个节开始。[img]http://forum.eviloctal.com/images/smilies/yangcong/60.gif[/img]
PS:我觉得改头一点用都没有。。反而以后的免杀就麻烦了。。君子与其练达,不若朴鲁;与其曲谨,不若疏狂。
[url=http://wpa.qq.com/msgrd?V=1&Uin=171400180&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子3 精华[url=http://forum.eviloctal.com/digest.php?authorid=48260]0[/url] 积分-133 阅读权限1 性别男 在线时间55 小时 注册时间2006-5-13 最后登录2008-7-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=48260]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-146888.html]yeufish[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然
页:
[1]