[分享]逆向整理包编译通过版鬼影3.0代码~-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (84) ◀ 1 2 3 4
binarystar 雪币： 251 活跃值： (77) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 223 粉丝 6 关注私信	binarystar 3 76 楼迟来的顶贴。祝偶像V大。越来越帅 2011-9-21 23:42 0
高军雪币： 322 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 204 粉丝 0 关注私信	高军 77 楼膜拜老V 谢谢了！！！ 2011-9-22 13:50 0
bbzhu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 110 粉丝 1 关注私信	bbzhu 78 楼请教一下V校，PMVirus里面的 mov ebx, eax add ebx, 201h+OFFSET VirusEnd 201h是怎么得到的呢？？？ 2011-10-25 11:57 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 79 楼用肉眼计算的~ 2011-10-25 17:02 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 80 楼请教一下V大，我调用ZwCreateFile打开beep.sys的时候，总是报错啊。。。status返回0xC000003B，不知道是什么原因，请V大赐教。 2011-12-30 15:07 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 81 楼有木有碰到类似问题的，有木有，有木有啊。 2011-12-30 18:15 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 82 楼亲～有木有，有木有啊。熬夜等回复的人你赏不起啊。 2011-12-31 00:13 0
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 83 楼楼主好厉害啊！ 2012-1-3 14:06 0
aisha 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	aisha 84 楼呵呵，代码完整 2012-3-23 16:54 0
pdx 雪币： 238 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 96 粉丝 0 关注私信	pdx 85 楼初次接触这方面东西，发现这个包编译出来的程序开机会卡住，就调了一下。。一个是PmVirus.asm里获得OsLoader地址时应该mov edi,[esp+22h]，然后返回OsLoader修改栈上返回地址时，应该add [esp+2h],21，IoGetCurrentProcessHook里有两个patch，加起来5个字节，所以第二个push改成push 0x12345678。这样的话，OverHookFunc里的patch偏移量也要变成1ABh，bootload.asm里的patch从375变成378就行了。这样的话，貌似是可以顺利进入xp系统，其他的也不太清楚了。跟踪这个病毒使我对其流程的细节有了很多的了解与深入，感谢大神提供的逆向整理包。 2012-12-2 17:47 0
erroru 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	erroru 86 楼 64 能用吗 2013-1-2 21:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (84) ◀ 1 2 3 4
binarystar 雪币： 251 活跃值： (77) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 223 粉丝 6 关注私信	binarystar 3 76 楼迟来的顶贴。祝偶像V大。越来越帅 2011-9-21 23:42 0
高军雪币： 322 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 204 粉丝 0 关注私信	高军 77 楼膜拜老V 谢谢了！！！ 2011-9-22 13:50 0
bbzhu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 110 粉丝 1 关注私信	bbzhu 78 楼请教一下V校，PMVirus里面的 mov ebx, eax add ebx, 201h+OFFSET VirusEnd 201h是怎么得到的呢？？？ 2011-10-25 11:57 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 79 楼用肉眼计算的~ 2011-10-25 17:02 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 80 楼请教一下V大，我调用ZwCreateFile打开beep.sys的时候，总是报错啊。。。status返回0xC000003B，不知道是什么原因，请V大赐教。 2011-12-30 15:07 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 81 楼有木有碰到类似问题的，有木有，有木有啊。 2011-12-30 18:15 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 82 楼亲～有木有，有木有啊。熬夜等回复的人你赏不起啊。 2011-12-31 00:13 0
jioushizhu 雪币： 1904 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 171 粉丝 1 关注私信	jioushizhu 83 楼楼主好厉害啊！ 2012-1-3 14:06 0
aisha 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	aisha 84 楼呵呵，代码完整 2012-3-23 16:54 0
pdx 雪币： 238 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 96 粉丝 0 关注私信	pdx 85 楼初次接触这方面东西，发现这个包编译出来的程序开机会卡住，就调了一下。。一个是PmVirus.asm里获得OsLoader地址时应该mov edi,[esp+22h]，然后返回OsLoader修改栈上返回地址时，应该add [esp+2h],21，IoGetCurrentProcessHook里有两个patch，加起来5个字节，所以第二个push改成push 0x12345678。这样的话，OverHookFunc里的patch偏移量也要变成1ABh，bootload.asm里的patch从375变成378就行了。这样的话，貌似是可以顺利进入xp系统，其他的也不太清楚了。跟踪这个病毒使我对其流程的细节有了很多的了解与深入，感谢大神提供的逆向整理包。 2012-12-2 17:47 0
erroru 雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	erroru 86 楼 64 能用吗 2013-1-2 21:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复