Board logo

标题: 昨天把木马源码免杀过360,今天又被它通缉了...望免杀的大牛们指教! [打印本页]

作者: Winmillion    时间: 2010-8-12 00:37     标题: 昨天把木马源码免杀过360,今天又被它通缉了...望免杀的大牛们指教!

昨天定位特征码对应的源码:
If Proce(StrToInt(PID))=(ConSa.sCopyTo+ConSa.sFileNameToCopy) Then   //PID被定为特征码
TerminateProce(hProce,0);   //TerminateProce被定为特征码
CrearThread;   //CrearThread自定过过程被定为特征码



今天定位特征码对应的源码:
ConSa.sPort:='80';   //sport被定为特征码
ClientSocket:=TClientSocket.Create(Nil);   //Create被定为特征码
ClientSocket.OnRead:=MainApplication.ClientSocketRead;   //Read被定为特征码

(我的Server是无窗体,没调用VCL控件,直接引用TClientSocket)



物理地址               虚拟偏移地址
000445C7_00000C05       004475C7
00044A3B_0000001E       00447A3B
00044A3B_00000020

OD载入:
004475C7   /71 19             jno short 1.004475E2

00447A3B    6300              arpl word ptr ds:[eax],ax

这次被定位到Server的核心代码,源码无法修改了,想用OD修改,望免杀的大牛们指教!




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2