- 帖子
- 30
- 积分
- 71
- 威望
- 56
- 金钱
- 52
- 在线时间
- 14 小时
|
昨天把木马源码免杀过360,今天又被它通缉了...望免杀的大牛们指教!
昨天定位特征码对应的源码:
If Proce(StrToInt(PID))=(ConSa.sCopyTo+ConSa.sFileNameToCopy) Then //PID被定为特征码
TerminateProce(hProce,0); //TerminateProce被定为特征码
CrearThread; //CrearThread自定过过程被定为特征码
今天定位特征码对应的源码:
ConSa.sPort:='80'; //sport被定为特征码
ClientSocket:=TClientSocket.Create(Nil); //Create被定为特征码
ClientSocket.OnRead:=MainApplication.ClientSocketRead; //Read被定为特征码
(我的Server是无窗体,没调用VCL控件,直接引用TClientSocket)
物理地址 虚拟偏移地址
000445C7_00000C05 004475C7
00044A3B_0000001E 00447A3B
00044A3B_00000020
OD载入:
004475C7 /71 19 jno short 1.004475E2
00447A3B 6300 arpl word ptr ds:[eax],ax
这次被定位到Server的核心代码,源码无法修改了,想用OD修改,望免杀的大牛们指教! |
|