【3.A.S.T】网络安全爱好者's Archiver

黑客学习

richy 发表于 2008-7-27 09:07

一道花过六种杀软

一道花过六种杀软
先脱壳这大家都应该知道,其实这个DLL也是被处理过的,等下告诉大家还原。这是被杀的。先测试给大家看看。
还有2种杀软就不测试了,一定杀的。
0040C000 > 90          nop
0040C001  90          nop
0040C002  90          nop
0
0040C011  EB 47        jmp short 12123.0040C05A
0040C013  68 90904500    push 459090


0040C02E  0090 90909090  add byte ptr ds:[eax+90909090],dl

0040C04A  0090 90909090  add byte ptr ds:[eax+90909090],dl

0040C058  0000        add byte ptr ds:[eax],al
0040C05A  60          pushad
0040C05B  E8 00000000    call 12123.0040C060
0040C060  58          pop eax
0040C061  61          popad
0040C062  68 20494000    push 12123.00404920

这一段很明显是作者加的花,公布出来肯定就被杀的。我们不要作者的花。

已经清楚掉了,嘿。这样就可以轻松过瑞星和江明。其他都过不去的。

我们再处理一下(手动加花),0040c000是我们新加的区段记下地址,载入OD并上花指令。

已经到达新的区段地址,现在上花指令,这样又可以过一种杀软,就是金山。哈哈!卡巴还是过不去,大家不要急

继续加花,看操作。区段名12123,大小512字节,地址0040D000
我们载入OD,继续上花,上完保存。哈哈,已经不杀了。还可以多过一种杀软,NOD32是过不去的。

现在测试能不能正常运行。哈哈除了NOD32起他都过,也能正常运行的

963852 发表于 2008-9-3 21:59

看不明白,能不能搞明白一点啊

世纪虫 发表于 2008-9-24 18:45

怎么不把教程发出来!!

战争残骸 发表于 2008-10-15 12:08

现在的杀软预见jmp就杀了

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.