【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 一道花过六种杀软 [打印本页]

作者: richy 时间: 2008-7-27 09:07 标题: 一道花过六种杀软

一道花过六种杀软
先脱壳这大家都应该知道，其实这个DLL也是被处理过的，等下告诉大家还原。这是被杀的。先测试给大家看看。
还有2种杀软就不测试了，一定杀的。
0040C000 > 90       nop
0040C001  90       nop
0040C002  90       nop
0
0040C011  EB 47       jmp short 12123.0040C05A
0040C013  68 90904500 push 459090

0040C02E  0090 90909090  add byte ptr ds:[eax+90909090],dl

0040C04A  0090 90909090  add byte ptr ds:[eax+90909090],dl

0040C058  0000       add byte ptr ds:[eax],al
0040C05A  60       pushad
0040C05B  E8 00000000 call 12123.0040C060
0040C060  58       pop eax
0040C061  61       popad
0040C062  68 20494000 push 12123.00404920

这一段很明显是作者加的花，公布出来肯定就被杀的。我们不要作者的花。

已经清楚掉了，嘿。这样就可以轻松过瑞星和江明。其他都过不去的。

我们再处理一下（手动加花），0040c000是我们新加的区段记下地址，载入OD并上花指令。

已经到达新的区段地址，现在上花指令，这样又可以过一种杀软，就是金山。哈哈！卡巴还是过不去，大家不要急

继续加花，看操作。区段名12123，大小512字节，地址0040D000
我们载入OD，继续上花，上完保存。哈哈，已经不杀了。还可以多过一种杀软，NOD32是过不去的。

现在测试能不能正常运行。哈哈除了NOD32起他都过，也能正常运行的

作者: 963852 时间: 2008-9-3 21:59

看不明白，能不能搞明白一点啊

作者: 世纪虫 时间: 2008-9-24 18:45

怎么不把教程发出来！！

作者: 战争残骸 时间: 2008-10-15 12:08

现在的杀软预见jmp就杀了

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)