UC知道定位在retn怎么做免杀啊
来源:百度知道 编辑:UC知道 时间:2024/06/02 18:36:08
004972A3: 5A POP EDX
004972A4: 59 POP ECX
004972A5: 59 POP ECX
004972A6: 64:8910 MOV FS:[EAX],EDX
004972A9: 68 B67E4900 PUSH 497EB6
004972AE: C3 RETN
004972AF: E9 F8C5F6FF JMP 004038AC
004972B4: EB F8 JMP SHORT 004972AE
004972B6: 5D POP EBP
004972B7: C3 RETN
004972B8: 7E 00 JLE SHORT 004972BA
004972BA: 0000 ADD [EAX],AL
004972BC: C07E 49 00 SAR BYTE PTR [ESI+49],0
004972C0: 40 INC EAX
004972C1: 6D INS DWORD PTR ES:[EDI],DX
004972C2: 40 INC EAX
004972C3: 0010 ADD [EAX],DL
004972A4: 59 POP ECX
004972A5: 59 POP ECX
004972A6: 64:8910 MOV FS:[EAX],EDX
004972A9: 68 B67E4900 PUSH 497EB6
004972AE: C3 RETN
004972AF: E9 F8C5F6FF JMP 004038AC
004972B4: EB F8 JMP SHORT 004972AE
004972B6: 5D POP EBP
004972B7: C3 RETN
004972B8: 7E 00 JLE SHORT 004972BA
004972BA: 0000 ADD [EAX],AL
004972BC: C07E 49 00 SAR BYTE PTR [ESI+49],0
004972C0: 40 INC EAX
004972C1: 6D INS DWORD PTR ES:[EDI],DX
004972C2: 40 INC EAX
004972C3: 0010 ADD [EAX],DL
同用跳转试一试
把retn nop掉
然后找一段空白区域
在retn处汇编成 jmp 地址:是你的空白区域的地址
然后再跳回去
如果可以的话
可以多跳转几条指令
比如:004972AF: E9 F8C5F6FF JMP 004038AC
004972B4: EB F8 JMP SHORT 004972AE
004972B6: 5D POP EBP
004972B7: C3 RETN
上面的都跳转一下
不明白