特征码修改问题
部分指令100000F5010500834E53adddwordptrds:[534E8300],eax100000FB48deceax100000FC0000addby...
部分指令 100000F5 0105 00834E53 add dword ptr ds:[534E8300],eax
100000FB 48 dec eax
100000FC 0000 add byte ptr ds:[eax],al
100000FE 0000 add byte ptr ds:[eax],al
10000100 0000 add byte ptr ds:[eax],al
10000102 0000 add byte ptr ds:[eax],al
10000104 E0 00 loopdne short PcMain.10000106
10000106 0E push cs
10000107 210B and dword ptr ds:[ebx],ecx
10000109 0106 add dword ptr ds:[esi],eax
1000010B 0000 add byte ptr ds:[eax],al
1000010D 0A01 or al,byte ptr ds:[ecx]
1000010F 0000 add byte ptr ds:[eax],al
10000111 4A dec edx 要修改的地址1000010410000106 请问怎么改? 我用跳转都出现错误 展开
100000FB 48 dec eax
100000FC 0000 add byte ptr ds:[eax],al
100000FE 0000 add byte ptr ds:[eax],al
10000100 0000 add byte ptr ds:[eax],al
10000102 0000 add byte ptr ds:[eax],al
10000104 E0 00 loopdne short PcMain.10000106
10000106 0E push cs
10000107 210B and dword ptr ds:[ebx],ecx
10000109 0106 add dword ptr ds:[esi],eax
1000010B 0000 add byte ptr ds:[eax],al
1000010D 0A01 or al,byte ptr ds:[ecx]
1000010F 0000 add byte ptr ds:[eax],al
10000111 4A dec edx 要修改的地址1000010410000106 请问怎么改? 我用跳转都出现错误 展开
2个回答
展开全部
这是修改的方法用MYCCL定位出特征码之后,如何修改,对于毫无汇编基础的小菜鸟来说,那难,难如上青天啊。下面说下常见特征码修改经常,可以参考,可以借鉴,但是完全照搬,那可是要出错的。
1. 遇到特征码定位在jmp指令上面的 构造替换 push xxxxx ret。 举例: jmp xxxxx 构造替换 push xxxxx ret
2. 遇到特征码定位在call指令上的。 举例: call xxxxx 构造替换: push @f jmp xxxxx @@: ;@@的标号表示的是你jmp xxxx指令后面的内存地址。 @f也就是引用@@ 的标号,所以此时@f这里填写的就是jmp xxxxx指令后面的内存地址。。
3. 遇到特征码定位在ret上 举例: ret 构造替换: jmp dword ptr [esp]
4. 遇到特征码定位在test eax, eax je xxxx or eax, eax, je xxxxx cmp eax, 0 jexxxxxx 举例: test eax, eax je xxxxxx 构造替换: xchg eax, ecx jecxz xxxxx
5. 遇到特征码定位在 push [xxxxxx]上的。 举例:push [xxxxx] 构造: 在其之前通过 xchg [xxxxxx], ebx 然后用寄存器传参: push ebx 最后在下面在通过xchg [xxxxxx], ebx 交换回来。
有时改上下语句也可过杀软,比如把上面的push改为call
1. 遇到特征码定位在jmp指令上面的 构造替换 push xxxxx ret。
举例: jmp xxxxx
构造替换 push xxxxx
ret
2. 遇到特征码定位在call指令上的。
举例:
call xxxxx
构造替换: push @f
jmp xxxxx
@@:
;@@的标号表示的是你jmp xxxx指令后面的内存地址。 @f也就是引用@@ 的标号,所以此时@f这里填写的就是jmp xxxxx指令后面的内存地址。。
3. 遇到特征码定位在ret上
举例: ret
构造替换:
jmp dword ptr [esp]
4. 遇到特征码定位在test eax, eax je xxxx or eax, eax, je xxxxx cmp eax, 0 jexxxxxx
举例: test eax, eax
je xxxxxx
构造替换: xchg eax, ecx
jecxz xxxxx
5. 遇到特征码定位在 push [xxxxxx]上的。
举例:push [xxxxx]
构造:
在其之前通过 xchg [xxxxxx], ebx
然后用寄存器传参: push ebx
最后在下面在通过xchg [xxxxxx], ebx 交换回来。
6. 把之前我教的数据段动态恢复和巧用算法加密结合起来。
前提是对汇编大家一定要有所了解,例如一些会员说金山杀的是配置信息上,你完全可以将其这些配置信息所处的地址的数据进行一层加密。或者你可以将其这些偏移所处的数据 通过xchg 交换。
dll注意下 要进行重定位
call $+5 ;机器码是 E8 00000000 00000000是相对地址
@@: pop ebx
sub ebx, @b
7/MOV EAX,DWORD PTR SS:[EBP+45645645]改成MOV EAX,DWORD PTR SS:[EBP]
下面你就可以通过[ebx+你的偏移]来进行变址寻址了。。
LEA EAX,DWORD PTR SS:[EBP+FFFF7A64]
改成 LEA EAX,DWORD PTR SS:[EBP]
1. 遇到特征码定位在jmp指令上面的 构造替换 push xxxxx ret。 举例: jmp xxxxx 构造替换 push xxxxx ret
2. 遇到特征码定位在call指令上的。 举例: call xxxxx 构造替换: push @f jmp xxxxx @@: ;@@的标号表示的是你jmp xxxx指令后面的内存地址。 @f也就是引用@@ 的标号,所以此时@f这里填写的就是jmp xxxxx指令后面的内存地址。。
3. 遇到特征码定位在ret上 举例: ret 构造替换: jmp dword ptr [esp]
4. 遇到特征码定位在test eax, eax je xxxx or eax, eax, je xxxxx cmp eax, 0 jexxxxxx 举例: test eax, eax je xxxxxx 构造替换: xchg eax, ecx jecxz xxxxx
5. 遇到特征码定位在 push [xxxxxx]上的。 举例:push [xxxxx] 构造: 在其之前通过 xchg [xxxxxx], ebx 然后用寄存器传参: push ebx 最后在下面在通过xchg [xxxxxx], ebx 交换回来。
有时改上下语句也可过杀软,比如把上面的push改为call
1. 遇到特征码定位在jmp指令上面的 构造替换 push xxxxx ret。
举例: jmp xxxxx
构造替换 push xxxxx
ret
2. 遇到特征码定位在call指令上的。
举例:
call xxxxx
构造替换: push @f
jmp xxxxx
@@:
;@@的标号表示的是你jmp xxxx指令后面的内存地址。 @f也就是引用@@ 的标号,所以此时@f这里填写的就是jmp xxxxx指令后面的内存地址。。
3. 遇到特征码定位在ret上
举例: ret
构造替换:
jmp dword ptr [esp]
4. 遇到特征码定位在test eax, eax je xxxx or eax, eax, je xxxxx cmp eax, 0 jexxxxxx
举例: test eax, eax
je xxxxxx
构造替换: xchg eax, ecx
jecxz xxxxx
5. 遇到特征码定位在 push [xxxxxx]上的。
举例:push [xxxxx]
构造:
在其之前通过 xchg [xxxxxx], ebx
然后用寄存器传参: push ebx
最后在下面在通过xchg [xxxxxx], ebx 交换回来。
6. 把之前我教的数据段动态恢复和巧用算法加密结合起来。
前提是对汇编大家一定要有所了解,例如一些会员说金山杀的是配置信息上,你完全可以将其这些配置信息所处的地址的数据进行一层加密。或者你可以将其这些偏移所处的数据 通过xchg 交换。
dll注意下 要进行重定位
call $+5 ;机器码是 E8 00000000 00000000是相对地址
@@: pop ebx
sub ebx, @b
7/MOV EAX,DWORD PTR SS:[EBP+45645645]改成MOV EAX,DWORD PTR SS:[EBP]
下面你就可以通过[ebx+你的偏移]来进行变址寻址了。。
LEA EAX,DWORD PTR SS:[EBP+FFFF7A64]
改成 LEA EAX,DWORD PTR SS:[EBP]
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
AiPPT
2024-09-19 广告
随着AI技术的飞速发展,如今市面上涌现了许多实用易操作的AI生成工具1、简介:AiPPT: 这款AI工具智能理解用户输入的主题,提供“AI智能生成”和“导入本地大纲”的选项,生成的PPT内容丰富多样,可自由编辑和添加元素,图表类型包括柱状图...
点击进入详情页
本回答由AiPPT提供
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
