首页
社区
课程
招聘
[旧帖] [求助]安全软件检查入口地址将正常程序报为加壳病毒怎么办? 0.00雪花
发表于: 2008-10-14 16:55 3388

[旧帖] [求助]安全软件检查入口地址将正常程序报为加壳病毒怎么办? 0.00雪花

2008-10-14 16:55
3388
公司要求对软件进行保护,最近在学壳,发现有的安全软件查壳特别厉害,我写了一个小的win32程序,只有printf一行代码。编译后将入口地址改为0x999,其他都不动,就被报称是加壳程序,不知道各位遇到这样的情况没有,有大牛说一下解决的思路,不甚感激!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
没有人会吗?问什么我问了好几个问题,都从来没有人回答呀?
2008-10-15 07:45
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
别人大概不知道你想干什么,如果是一个普通的软件,修改入口点用来干什么?

每个安全软件的检测方法都不尽相同,比如它可以检测你PE文件的入口点,如果不符合常规程序

入口点就报壳,所以你可以换入口点,然后手工添加一段模拟花指令来尝试一下!

别人不回答你的问题,自己看看自己的问题是否提问的不够清楚
2008-10-15 12:29
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我没说清楚吗?我是指在PE头中如果入口地址不是正常程序编译出来时的地址,而是加壳程序计算出来的地址,就会被报成加壳病毒,修改入口代码有什么用?我做了测试,一个文件中只有PE头把所有其他的数据包括所有的节都去掉,如果入口地址不正常仍然会被报成加壳病毒的,这样你的壳程序写的再好也没有用呀,杀软这样是不是太过分了,我想保护一下软件,结果被报称病毒,还有哪个客户用我的软件?我问了很多次了,论坛的老大们就不能出来说句话吗?
2008-10-15 16:11
0
雪    币: 293
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
一般代码段开始都是在1000的位置吧。1000之前的一般是PE头和导入数据吧。如果你加壳的话,可以考虑新加一个可执行的节,或者把源代码节变大,然后让入口点指向你的壳入口。入口点看着都有点奇怪,安全软件怀疑它也很正常。
2008-10-15 18:26
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
5楼的兄弟正解,方法我知道,可就是过不了入口点检查。
2008-10-16 08:17
0
游客
登录 | 注册 方可回帖
返回
//