-
-
[原创]花指令伪装器1.0
-
发表于:
2007-3-23 23:28
5532
-
名称:花指令伪装器
版本:1.0
作者:风铃夜思雨
说明:可以将某程序(如:DELPHI写的程序)伪装为另一种 程序(如:VC++6)
下载地址:
skygz.ys168.com 公共目录下
现征集更多的特征代码,如果你有更多好的特征码,可通过程序中的关于取得联系方法
下面说明特征码的添加方法
首先下面这一行信息为特征码库的一项
<Item Name="Microsoft Visual C++ 7.0 DLL Method 3" SignCode="55 8B EC 53 8B 5D 08 56 8B 75 0C 57 8B 7D 10 57 56 53 B8 00 10 40 00 FF E0 90" JmpOf="19" MajorLV="7" MinorLV="0" />
Microsoft Visual C++ 7.0 DLL Method 3:为在程序中显示的名称也可表示为程序将伪装为此类型
汇编代码
push ebp
mov ebp,esp
push ebx
mov ebx,dword ptr ss:[ebp+8]
push esi
mov esi,dword ptr ss:[ebp+C]
push edi
mov edi,dword ptr ss:[ebp+10]
push edi
push esi
push ebx
jmp XXXXXXXX '执行到程序的原有OEP
进制代码为:
55 8B EC 53 8B 5D 08 56 8B 75 0C 57 8B 7D 10 57 56 53 当前长度为:18
在XML特征码库中的代码为(SignCode):
55 8B EC 53 8B 5D 08 56 8B 75 0C 57 8B 7D 10 57 56 53 B8 00 10 40 00 FF E0 90
长度(JmpOf):
原特征码加上B8则长度为18+1=19
然后在特征码中再加上 00 10 40 00 FF E0 90 这一段则表示于跳转到原入口地址
特征码总长度不得大于128
链接器版本:
MajorLV="7" MinorLV="0" 则是等于链接器版本为:7.0
如等于-1则不改动链接器版本
下载地址:
skygz.ys168.com 公共目录下
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
