UC知道灰鸽子木马免杀问题
来源:百度知道 编辑:UC知道 时间:2024/06/21 03:59:52
大家帮我解决下:
我用MYCLL定位服务端特征码太多了,于是我就定位dat文件,然后定位出来两个特征码
(1)00094B3E_00000002
(2)00000114_00000003
我先用OC把特征码1的00094B3E转换成内存地址,然后用OD用跳转法修改了特征码,这是成功了的,生成的服务端能运行,再用MYCLL也定位不出特征码1了。
然后特征码2就出问题了,首先他不能直接用OD改,因为00000114用OC转换不成内存地址,我就用C32先跳转到00000114
对应的16进制码是E0,我改成E1,是免杀了,但是生成鸽子服务端不能运行了,没办法,我选对应汇编模式编辑,就是这样的
:00400114: E0 00 LOOPDNE SHORT 00400116 这里我不知道怎么改,于是我试了试用这个前面的00400114放到OD里去,能找到对应的东西了,这样:
00400114 /E0 00 LOOPDNE SHORT 1.00400116
00400116 \8E81 0B010219 MOV ES,WORD PTR DS:[ECX+1902010B] ; 段寄存器更改
0040011C 0012 ADD BYTE PTR DS:[EDX],DL
本来这应该可以用跳转法了的,但是当我把00400114这行NOP掉,用其他的PUSH 0汇编成 LOOPDNE SHORT 1.00400116的时候却给我说命令不支持浮点数。。。。
各位大侠帮忙啊,我实在不知道怎么的了。。。
我用MYCLL定位服务端特征码太多了,于是我就定位dat文件,然后定位出来两个特征码
(1)00094B3E_00000002
(2)00000114_00000003
我先用OC把特征码1的00094B3E转换成内存地址,然后用OD用跳转法修改了特征码,这是成功了的,生成的服务端能运行,再用MYCLL也定位不出特征码1了。
然后特征码2就出问题了,首先他不能直接用OD改,因为00000114用OC转换不成内存地址,我就用C32先跳转到00000114
对应的16进制码是E0,我改成E1,是免杀了,但是生成鸽子服务端不能运行了,没办法,我选对应汇编模式编辑,就是这样的
:00400114: E0 00 LOOPDNE SHORT 00400116 这里我不知道怎么改,于是我试了试用这个前面的00400114放到OD里去,能找到对应的东西了,这样:
00400114 /E0 00 LOOPDNE SHORT 1.00400116
00400116 \8E81 0B010219 MOV ES,WORD PTR DS:[ECX+1902010B] ; 段寄存器更改
0040011C 0012 ADD BYTE PTR DS:[EDX],DL
本来这应该可以用跳转法了的,但是当我把00400114这行NOP掉,用其他的PUSH 0汇编成 LOOPDNE SHORT 1.00400116的时候却给我说命令不支持浮点数。。。。
各位大侠帮忙啊,我实在不知道怎么的了。。。
还在用灰鸽子···
无语
改换点新的远控了‘
用替换法 就好 了 把特征码 替换掉 或 加1减1法 祝你好运
你真行 你看 你定位到哪里了??PE头上了。。。。
直接重建下PE就行了
重建很简单 网上有很多的教程
估计在这个地方免杀的话 你的慎重
上下的分析下吧
最好是截图
哎,第二个好办,把pe头向前移动一下就搞定
有偿 请看我id