用myccl找出木马特征码之后,怎么修改?
用myccl定位出某个木马的特征码之后,如:------------------------------------------------特征码物理地址/物理长度如下:...
用myccl定位出某个木马的特征码之后,如:
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 00000400_000002B3
[特征] 000101BA_00000566
特征码分布示意图:
[---MMM--------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[------------------------------------MMMMM---------]
[--------------------------------------------------]
然后我用c32Asm来修改,那是不是要把那一段都填充0?
我全部填充完之后,虽然免杀了,木马却运行不了。
请高人指教~!有qq号者请写上。
如果有教程的,请麻烦贴上网址,谢谢!
(不要乱复制,就算复制也要能解决实际问题) 展开
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 00000400_000002B3
[特征] 000101BA_00000566
特征码分布示意图:
[---MMM--------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[------------------------------------MMMMM---------]
[--------------------------------------------------]
然后我用c32Asm来修改,那是不是要把那一段都填充0?
我全部填充完之后,虽然免杀了,木马却运行不了。
请高人指教~!有qq号者请写上。
如果有教程的,请麻烦贴上网址,谢谢!
(不要乱复制,就算复制也要能解决实际问题) 展开
展开全部
你没定完的,要继续定位直到000002B3 和00000566 变成00000002或00000003就是定到2个或3个字节为止,要不现在的太长,不好改。
然后要用偏移量转换器转换成内存地址,再用od打开,进行汇编 ,大概就是这步骤,网上教程多的是的。
用c32asm修改只能改文字或不关键的字符,定位出的是关键字符,改了当然就运行不了了!
然后要用偏移量转换器转换成内存地址,再用od打开,进行汇编 ,大概就是这步骤,网上教程多的是的。
用c32asm修改只能改文字或不关键的字符,定位出的是关键字符,改了当然就运行不了了!
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
接下来用winhex修改特征码啦。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
