输入表免杀之函数名转移

网络杂谈 CN-P5 2081℃ 0评论

现在的免杀越来越不好做了,特征码定位得十分刁钻,今天我就来讲一讲如何对输入表进行免杀,用到的工具有WinHex LordPE OC

    我以PCSHARE的DLL文件为例,这处是热瑞星的特征码 0000D4F4_00000002 用WinHex打开,可以看到定位在了输入表函数上。

我们用LoadPE大开看看,依次打开目录 输入表 找到函数名。

我们将它复制,向下找到一段空白区,重新写入。

用00将原函数名填充,并记下新函数名的文件偏移地址,也就是0000DCA3,用OC将它转换成内存地址,

也就是1000ECA3.

再到LORDPE中看看,函数名没有了。

接下来给出个公式    内存地址=RAV+RAV基址 ,RAV基地址可以在LORDPE中看到.

所以1000ECA3=10000000+RAV ,RAV=0000ECA3,这时还要注意,输入表函数名前有两个空格所以RAV=0000ECA1.我们在LORDPE 中找到刚才的函数名,点右键,编辑,填入0000ECA1,

点确定,看看函数名恢复了

保存后用这个生成服务端,正常上线。

至此输入表函数免杀完成

来源:http://hi.baidu.com/lupin1314

转载请注明:黑白的自留地 » 输入表免杀之函数名转移

喜欢 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(4)个小伙伴在吐槽
  1. 太专业了-0=膜拜!
    ayaya痴迷份子2008-10-11 15:23 回复
  2. 兄弟 转我的文章 为什么不写清楚我来补上 转自http://hi.baidu.com/lupin1314
    lupin13142008-10-15 10:37 回复
  3. 不好意思,我在发表的时候已经写了你的链接了。可能你没注意看。我加重下颜色。
    rzsky2008-10-17 09:19 回复
  4. 呵呵 可能是我没看到
    lupin13142008-10-17 14:30 回复