[讨论]给PS定位特征码的时候遇见的怪事 怪事, 特征, 遇见, 讨论

s37su37

[讨论]给PS定位特征码的时候遇见的怪事
议题作者：sniper
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

刚才给pcshare定位喀吧6.0下的特征码，update目录下的那三文件，exe倒好过，找到位置后一个jmp就搞定。DLL和EXE定位出来的特征码却然我感觉有点匪夷所思了：

dll
    -------------定位结果------------
   序号  起始偏移   大小   结束偏移
  0001  00000000  00000010  00000010  
  0002  00000030  00000010  00000040  
  0003  000000F0  00000020  00000110  

  0001  00000120  00000002  00000122  

  0001  000001FC  00000002  000001FE  
  0002  00000204  00000002  00000206  

~~~~~~~~~~~~~~~~~~~
sys

    -------------定位结果------------
   序号  起始偏移   大小   结束偏移
   0001  00000000  00000002  00000002  
  0002  0000003C  00000002  0000003E  

  0001  000000D0  00000002  000000D2  
  0002  000000D6  00000002  000000D8  
  0003  000000E4  00000002  000000E6  
  0004  000000F8  00000002  000000FA  


这2个文件的特征码定位出来竟然全部这么靠前，这貌似就没法改了呀。。。你随便动哪一下那出的问题可都不一般了，直接无效的PE文件啊。以前很少接触免杀这方面，最近才接触，烦请各位达人指教：如何修改这类的特征码来pass喀吧。
帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP 赚更多的钱


赐我一败
晶莹剔透§烈日灼然