能力值:
( LV2,RANK:10 )
|
-
-
2 楼
有些杀毒软件会误报。这个我没办法搞啊
|
能力值:
( LV9,RANK:3410 )
|
-
-
3 楼
BP WriteProcessMemory
0012FE10 10004282 /CALL 到 WriteProcessMemory 来自 花儿之家.1000427D
0012FE14 00000048 |hProcess = 00000048 (window)
0012FE18 00400000 |Address = 400000
0012FE1C 008B0004 |Buffer = 008B0004 //地址
0012FE20 00008000 |BytesToWrite = 8000 (32768.) //长度
0012FE24 0012FF80 \pBytesWritten = 0012FF80
再BP ResumeThread
把008B0004,长度8000,复制出来就是加壳前的文件了
BTW:没有什么特色的思路,探索其它的吧
|
能力值:
( LV7,RANK:100 )
|
-
-
4 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
不会吧,老大就是老大。哈~~~~~~~~高手啊。但我明明把资源文件压没了啊。怎么弄出来的啊。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
呵呵,谢谢各位的意见,程序还在修改中,相信我会改的更好,因为这里只有我一个人,所以我只能作到提高,但不能做到最好。PEID查的这个名字,我本人不打算更改了,因为太麻烦,得改些2进制的代码,至于为什么把资源(图标)压掉,这个问题我这些天在想,如果不压图标,会让人很容易脱,对了,我问下各位,那个所谓的病毒代码是不是和病毒免疫器代码有关系。这个我最近一直在考虑。记得我好象加了段病毒免疫器的代码?不过我的瑞星没报,后来我就不以为然了,没想到居然会被KV和KB误报,哎~~~~~~~~~
如真是这个原因,我去掉那段代码就是了。
希望各位大哥帮忙。
关于LODEPE的标志是因为我本想先伪装成VC++7.0后再调用主程序。结果弄错了,弄成了VC6没办法。哈~~~~~~~~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
最初由 fly 发布 BP WriteProcessMemory
0012FE10 10004282 /CALL 到 WriteProcessMemory 来自 花儿之家.1000427D 0012FE14 00000048 |hProcess = 00000048 (window) 0012FE18 00400000 |Address = 400000 ........
请教:多问一句:如果将这个壳转换为单进程怎么作?
多谢
|
能力值:
( LV9,RANK:3410 )
|
-
-
9 楼
抱歉,没有看这个
不过这个方式甚至比单进程还简单
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
那样会很慢的,就象UPX―GUI 很慢,这个好快的哦~~~~~~
几乎不到1秒就压完了那个UNPACKME
所以我不想改单进程,因为要节约啊~
哈。
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
这种处理方法会使加壳后的文件会被报有捆绑数据,可能会被怀疑有木马,
这个马是不是和那段病毒免疫的代码有关系啊?FLY老大
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
PC-Guard 5.0 -> Blagoje Ceklic那里有破解版?
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
FLY小弟求学,怎么改这个病毒特征码,我试加花指令可以实现吗/
|
能力值:
( LV7,RANK:100 )
|
-
-
14 楼
最初由 樱花散落 发布 FLY小弟求学,怎么改这个病毒特征码,我试加花指令可以实现吗/
好像有个工具可以修改特征码,叫什么CL吧.
|
能力值:
( LV9,RANK:3410 )
|
-
-
15 楼
一般可以手动定位杀毒软件所确定的特征码的地方,修改成等效代码就行了
|
|
|