动画介绍:一、上兴的个性修改免杀(这是 鸽子过金山的方法) 配制服务端时,可以把“安装名称 的 后辍”随意的更改
1.用Restorator打开,
a.删除DVCLAL,这个可以删除,不会影响到对肉鸡的控制
b.把对话框内的文件名乱改下
c.把THOOKE07这个文件名更改为同长度的字母或数字 feregder
2.用c32asm打开搜索文件名
a.用16进制打开--搜索(Ctrl+F)--写入THOOKE07
b.将所有搜索到的THOOKE07用 同样多的字母或数字代替, 大小写无所谓。
3.用c32asm打开搜索
a.用16进制打开--搜索(Ctrl+F)--
写入IEXPLORE.EXE 改为小写iexplore.exe
b.搜索 备注内容 可以修改成自己喜欢的名字 也可以直接用16进制填充
二、做正式免杀
1.OD加花=>过 卡巴,江民,金山 表面
00499BA8 入口地址
00497DE4 加花地址
push ebx
pop ebx
push ebx
pop ebx
inc ecx
dec ecx
jb (原入口点)
jnb (原入口点)
53 5B 53 5B 41 49 0F 82 B8 1D 00 00 0F 83 B2 1D 00 00
2.特征码定位=>过 瑞星,驱逐舰
瑞星文件定位 特征码 物理地址/物理长度 如下:
[特征] 0008C92D_00000002 OC转换0048D52D
0048D52B 8B55 F0 MOV EDX,DWORD PTR SS:[EBP-10]
0048D52E 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
第一个用-4 第二个改-10 数字互换 =>过 瑞星
3.过 内存
瑞星内存定位 特征码 物理地址/物理长度 如下:
[特征] 00095EB5_00000002 用c32asm改字母大小写 SVW svw | |
安全中国首页 > 动画中心 > 免杀动画
