首页
社区
课程
招聘
[求助]关于pe导入表免杀
发表于: 2010-8-13 22:07 8387

[求助]关于pe导入表免杀

2010-8-13 22:07
8387
卡巴杀导入表,两字节地址指向kernel32.dll字符串就杀,而修改这两字节指向的字符串(不是kernel32.dll)就不杀,但是这两字节必须指向kernel32.dll字符串。。这种情况该怎么免杀,请高手指点。。。谢谢

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
2
出来混的,要啥导入表~
一坨shellcode足矣~
2010-8-13 22:41
0
雪    币: 420
活跃值: (77)
能力值: ( LV13,RANK:500 )
在线值:
发帖
回帖
粉丝
3
自己加载导入表中的函数。。
    可以用shellcode 定位到loadlibrary getprocaddress  的函数地址后,,自己动态加载你需要的函数。。
   这样导入表对你来说可有可无。。
2010-8-13 23:07
0
雪    币: 224
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这叫做动态加载函数,调用加载后的地址,或烂点动态加载函数后,用新地址改写导入表地址!!就是麻烦了!!
2010-8-15 15:24
0
雪    币: 127
活跃值: (40)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
就为了你这“一坨一坨”的东西来标记一下
2010-12-17 01:30
0
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这跎问题 不好做啦
不过你应该重新定位
一般是不会定位到上面的位置的
2010-12-17 16:39
0
游客
登录 | 注册 方可回帖
返回
//