标题:
一道花过六种杀软
[打印本页]
作者:
richy
时间:
2008-7-27 09:07
标题:
一道花过六种杀软
一道花过六种杀软
先脱壳这大家都应该知道,其实这个DLL也是被处理过的,等下告诉大家还原。这是被杀的。先测试给大家看看。
还有2种杀软就不测试了,一定杀的。
0040C000 > 90 nop
0040C001 90 nop
0040C002 90 nop
0
0040C011 EB 47 jmp short 12123.0040C05A
0040C013 68 90904500 push 459090
0040C02E 0090 90909090 add byte ptr ds:[eax+90909090],dl
0040C04A 0090 90909090 add byte ptr ds:[eax+90909090],dl
0040C058 0000 add byte ptr ds:[eax],al
0040C05A 60 pushad
0040C05B E8 00000000 call 12123.0040C060
0040C060 58 pop eax
0040C061 61 popad
0040C062 68 20494000 push 12123.00404920
这一段很明显是作者加的花,公布出来肯定就被杀的。我们不要作者的花。
已经清楚掉了,嘿。这样就可以轻松过瑞星和江明。其他都过不去的。
我们再处理一下(手动加花),0040c000是我们新加的区段记下地址,载入OD并上花指令。
已经到达新的区段地址,现在上花指令,这样又可以过一种杀软,就是金山。哈哈!卡巴还是过不去,大家不要急
继续加花,看操作。区段名12123,大小512字节,地址0040D000
我们载入OD,继续上花,上完保存。哈哈,已经不杀了。还可以多过一种杀软,NOD32是过不去的。
现在测试能不能正常运行。哈哈除了NOD32起他都过,也能正常运行的
作者:
963852
时间:
2008-9-3 21:59
看不明白,能不能搞明白一点啊
作者:
世纪虫
时间:
2008-9-24 18:45
怎么不把教程发出来!!
作者:
战争残骸
时间:
2008-10-15 12:08
现在的杀软预见jmp就杀了
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2