特征码修改问题
部分指令100000F5010500834E53adddwordptrds:[534E8300],eax100000FB48deceax100000FC0000addby...
部分指令 100000F5 0105 00834E53 add dword ptr ds:[534E8300],eax
100000FB 48 dec eax
100000FC 0000 add byte ptr ds:[eax],al
100000FE 0000 add byte ptr ds:[eax],al
10000100 0000 add byte ptr ds:[eax],al
10000102 0000 add byte ptr ds:[eax],al
10000104 E0 00 loopdne short PcMain.10000106
10000106 0E push cs
10000107 210B and dword ptr ds:[ebx],ecx
10000109 0106 add dword ptr ds:[esi],eax
1000010B 0000 add byte ptr ds:[eax],al
1000010D 0A01 or al,byte ptr ds:[ecx]
1000010F 0000 add byte ptr ds:[eax],al
10000111 4A dec edx 要修改的地址1000010410000106 请问怎么改? 我用跳转都出现错误 展开
100000FB 48 dec eax
100000FC 0000 add byte ptr ds:[eax],al
100000FE 0000 add byte ptr ds:[eax],al
10000100 0000 add byte ptr ds:[eax],al
10000102 0000 add byte ptr ds:[eax],al
10000104 E0 00 loopdne short PcMain.10000106
10000106 0E push cs
10000107 210B and dword ptr ds:[ebx],ecx
10000109 0106 add dword ptr ds:[esi],eax
1000010B 0000 add byte ptr ds:[eax],al
1000010D 0A01 or al,byte ptr ds:[ecx]
1000010F 0000 add byte ptr ds:[eax],al
10000111 4A dec edx 要修改的地址1000010410000106 请问怎么改? 我用跳转都出现错误 展开
2个回答
2013-09-03
展开全部
这是修改的方法用MYCCL定位出特征码之后,如何修改,对于毫无汇编基础的小菜鸟来说,那难,难如上青天啊。下面说下常见特征码修改经常,可以参考,可以借鉴,但是完全照搬,那可是要出错的。
1. 遇到特征码定位在jmp指令上面的 构造替换 push xxxxx ret。 举例: jmp xxxxx 构造替换 push xxxxx ret
2. 遇到特征码定位在call指令上的。 举例: call xxxxx 构造替换: push @f jmp xxxxx @@: ;@@的标号表示的是你jmp xxxx指令后面的内存地址。 @f也就是引用@@ 的标号,所以此时@f这里填写的就是jmp xxxxx指令后面的内存地址。。
3. 遇到特征码定位在ret上 举例: ret 构造替换: jmp dword ptr [esp]
4. 遇到特征码定位在test eax, eax je xxxx or eax, eax, je xxxxx cmp eax, 0 jexxxxxx 举例: test eax, eax je xxxxxx 构造替换: xchg eax, ecx jecxz xxxxx
5. 遇到特征码定位在 push [xxxxxx]上的。 举例:push [xxxxx] 构造: 在其之前通过 xchg [xxxxxx], ebx 然后用寄存器传参: push ebx 最后在下面在通过xchg [xxxxxx], ebx 交换回来。
有时改上下语句也可过杀软,比如把上面的push改为call
1. 遇到特征码定位在jmp指令上面的 构造替换 push xxxxx ret。
举例: jmp xxxxx
构造替换 push xxxxx
ret
2. 遇到特征码定位在call指令上的。
举例:
call xxxxx
构造替换: push @f
jmp xxxxx
@@:
;@@的标号表示的是你jmp xxxx指令后面的内存地址。 @f也就是引用@@ 的标号,所以此时@f这里填写的就是jmp xxxxx指令后面的内存地址。。
3. 遇到特征码定位在ret上
举例: ret
构造替换:
jmp dword ptr [esp]
4. 遇到特征码定位在test eax, eax je xxxx or eax, eax, je xxxxx cmp eax, 0 jexxxxxx
举例: test eax, eax
je xxxxxx
构造替换: xchg eax, ecx
jecxz xxxxx
5. 遇到特征码定位在 push [xxxxxx]上的。
举例:push [xxxxx]
构造:
在其之前通过 xchg [xxxxxx], ebx
然后用寄存器传参: push ebx
最后在下面在通过xchg [xxxxxx], ebx 交换回来。
6. 把之前我教的数据段动态恢复和巧用算法加密结合起来。
前提是对汇编大家一定要有所了解,例如一些会员说金山杀的是配置信息上,你完全可以将其这些配置信息所处的地址的数据进行一层加密。或者你可以将其这些偏移所处的数据 通过xchg 交换。
dll注意下 要进行重定位
call $+5 ;机器码是 E8 00000000 00000000是相对地址
@@: pop ebx
sub ebx, @b
7/MOV EAX,DWORD PTR SS:[EBP+45645645]改成MOV EAX,DWORD PTR SS:[EBP]
下面你就可以通过[ebx+你的偏移]来进行变址寻址了。。
LEA EAX,DWORD PTR SS:[EBP+FFFF7A64]
改成 LEA EAX,DWORD PTR SS:[EBP]
1. 遇到特征码定位在jmp指令上面的 构造替换 push xxxxx ret。 举例: jmp xxxxx 构造替换 push xxxxx ret
2. 遇到特征码定位在call指令上的。 举例: call xxxxx 构造替换: push @f jmp xxxxx @@: ;@@的标号表示的是你jmp xxxx指令后面的内存地址。 @f也就是引用@@ 的标号,所以此时@f这里填写的就是jmp xxxxx指令后面的内存地址。。
3. 遇到特征码定位在ret上 举例: ret 构造替换: jmp dword ptr [esp]
4. 遇到特征码定位在test eax, eax je xxxx or eax, eax, je xxxxx cmp eax, 0 jexxxxxx 举例: test eax, eax je xxxxxx 构造替换: xchg eax, ecx jecxz xxxxx
5. 遇到特征码定位在 push [xxxxxx]上的。 举例:push [xxxxx] 构造: 在其之前通过 xchg [xxxxxx], ebx 然后用寄存器传参: push ebx 最后在下面在通过xchg [xxxxxx], ebx 交换回来。
有时改上下语句也可过杀软,比如把上面的push改为call
1. 遇到特征码定位在jmp指令上面的 构造替换 push xxxxx ret。
举例: jmp xxxxx
构造替换 push xxxxx
ret
2. 遇到特征码定位在call指令上的。
举例:
call xxxxx
构造替换: push @f
jmp xxxxx
@@:
;@@的标号表示的是你jmp xxxx指令后面的内存地址。 @f也就是引用@@ 的标号,所以此时@f这里填写的就是jmp xxxxx指令后面的内存地址。。
3. 遇到特征码定位在ret上
举例: ret
构造替换:
jmp dword ptr [esp]
4. 遇到特征码定位在test eax, eax je xxxx or eax, eax, je xxxxx cmp eax, 0 jexxxxxx
举例: test eax, eax
je xxxxxx
构造替换: xchg eax, ecx
jecxz xxxxx
5. 遇到特征码定位在 push [xxxxxx]上的。
举例:push [xxxxx]
构造:
在其之前通过 xchg [xxxxxx], ebx
然后用寄存器传参: push ebx
最后在下面在通过xchg [xxxxxx], ebx 交换回来。
6. 把之前我教的数据段动态恢复和巧用算法加密结合起来。
前提是对汇编大家一定要有所了解,例如一些会员说金山杀的是配置信息上,你完全可以将其这些配置信息所处的地址的数据进行一层加密。或者你可以将其这些偏移所处的数据 通过xchg 交换。
dll注意下 要进行重定位
call $+5 ;机器码是 E8 00000000 00000000是相对地址
@@: pop ebx
sub ebx, @b
7/MOV EAX,DWORD PTR SS:[EBP+45645645]改成MOV EAX,DWORD PTR SS:[EBP]
下面你就可以通过[ebx+你的偏移]来进行变址寻址了。。
LEA EAX,DWORD PTR SS:[EBP+FFFF7A64]
改成 LEA EAX,DWORD PTR SS:[EBP]
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
光点科技
2023-08-15 广告
2023-08-15 广告
通常情况下,我们会按照结构模型把系统产生的数据分为三种类型:结构化数据、半结构化数据和非结构化数据。结构化数据,即行数据,是存储在数据库里,可以用二维表结构来逻辑表达实现的数据。最常见的就是数字数据和文本数据,它们可以某种标准格式存在于文件...
点击进入详情页
本回答由光点科技提供
2013-09-03
展开全部
自己可以到下载网站找到特征代码
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询