UC知道特征码定位问题!急!200分在线等!
来源:百度知道 编辑:UC知道 时间:2024/05/18 18:06:48
1.我用MYCLL打开以后没有字节名字
节名称 起始位置 物理长度
00000400 00000000
00000400 00008C00
00000400 00000000
2.我用Ollydbg打开查找显示的是RETN,我在下面0区域加的花程序的最后1部!要怎么改?还是特征码本来就是错的?
我加的花指令:
PUSH EBP
MOV EBP,ESP
ADD ESP,-0D
ADD ESP,0D
PUSH 1
PUSH -1
NOP
NOP
MOV EAX,跳转
PUSH EAX
RETN
3.我用C32十六进制打开,搜索不到我定位的那个物理地址!
比如我定位出的是00008FF8,我就自己在00008FF0那行,把第8个改了,是个小写P,显示的是50,我改成大写P,显示是70,然后就不能运行了!不过免杀了...
4.瞎改都不能运行,都免杀,不能运行有什么用?
求高手教教,到底怎么回事?还是我特征码找的本来就有问题?
200分!在线等!不懂的别跟着胡说8道,那样你也拿不到分!复制一大堆网址的也别来!
只要能解决,分不是问题,不说太明白了,呵呵!
还有我想问问特征码做免杀是什么原理?是不是通用的招?
没人懂么?
节名称 起始位置 物理长度
00000400 00000000
00000400 00008C00
00000400 00000000
2.我用Ollydbg打开查找显示的是RETN,我在下面0区域加的花程序的最后1部!要怎么改?还是特征码本来就是错的?
我加的花指令:
PUSH EBP
MOV EBP,ESP
ADD ESP,-0D
ADD ESP,0D
PUSH 1
PUSH -1
NOP
NOP
MOV EAX,跳转
PUSH EAX
RETN
3.我用C32十六进制打开,搜索不到我定位的那个物理地址!
比如我定位出的是00008FF8,我就自己在00008FF0那行,把第8个改了,是个小写P,显示的是50,我改成大写P,显示是70,然后就不能运行了!不过免杀了...
4.瞎改都不能运行,都免杀,不能运行有什么用?
求高手教教,到底怎么回事?还是我特征码找的本来就有问题?
200分!在线等!不懂的别跟着胡说8道,那样你也拿不到分!复制一大堆网址的也别来!
只要能解决,分不是问题,不说太明白了,呵呵!
还有我想问问特征码做免杀是什么原理?是不是通用的招?
没人懂么?
晕。。。。你要在OD打开就需要汇编基础。
用CCL定位的还是MYCCL定位的啊?你定位的是复合定位还是单一的?定位的是是什么段?在OD中找不到内存?前面加上0试试。。。好比是70.。你在前面加上070.。。。
定位的方法很多。。。看你定位什么段。。。然后最重要的是细心。。。定位好了在加壳来个跳转就免杀。。。
我的QQ1016000628 实在不行加我QQ说说。。。免杀不一定非定位特征码。。。但是定位特征码是最有效果的。。你弄到C32 16进制搜索的时候注意往上搜索还往下搜索。。。
特征码免杀的原理就是杀软查毒的原理就是把自己病毒库里所有的特征码和所扫描的程序相互对比,如果发现一样的码段,就认定这个软件是病毒。
形象说病毒库里如果有个特征码叫“灰鸽子”而扫描了一个程序发现这个程序包含“灰鸽子”字段,那就判定这个程序是灰鸽子。这时候你只需要把你程序中“灰鸽子”修改为“灰鸭子”,这样,杀软就认为这个程序是正常程序。
向你所描述的那些修改方法都属于比较老的修改技术,包括“修改大小写”,“跳转法”。
如果你真的有兴趣,建议你仔细再复习一下汇编语言,熟悉汇编之后,做免杀只是水到渠成的事情。
另外,你去下载个黑客吧的木马免杀班教程看看,讲的虽然不深入,但是比较系统
只允许写60个字,说不完全,你看看这篇帖子
http://tieba.baidu.com/f?ct=335675392&tn=baiduPostBrowser&sc=4040294752&z=398797384&pn=0&rn=50&lm=0&word=%BA%DA%BF%CD#4040294752
你的特征码明显都是错的