Chinaunix首页 | 论坛 | 博客
  • 博客访问: 4511053
  • 博文数量: 356
  • 博客积分: 10458
  • 博客等级: 上将
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-24 14:59
文章分类

全部博文(356)

文章存档

2020年(17)

2019年(9)

2018年(26)

2017年(5)

2016年(11)

2015年(20)

2014年(2)

2013年(17)

2012年(15)

2011年(4)

2010年(7)

2009年(14)

2008年(209)

分类:

2008-05-24 12:40:53

N年前的帖子了,只是贴出来,给大家一个思路而已.
 
用ccl定位winshell特征码 总体参数设置--文件特征码手动定位选定一个自定义路径(该文件中要求没有其他文件如文件1) 文件处--特征码检测---文件特征码----选定winshell 就可以生成很多文件然后开卡巴扫描文件1(卡巴要设置成扫描电脑时不提示直接清除或删除,扫描完成清空备份文件) 扫描完成就只剩下6到7个文件了,这些都是特征码被NOP掉的(就是被改成无效代码) 这时到CCL中的操作--结果定位 就会看到如下 -------------定位结果------------ 序号 起始偏移 大小 结束偏移 0001 00000000 00000040 00000040 0002 000000E0 00000040 00000120 0003 00002140 00000020 00002160 0004 000028C0 00000020 000028E0 可以在文件---保存结果--选一个文本存在里面 就可以把CCL关了拿0003这块入手 00402140 ~~~00402160 00402140 |? 0085 C0740E5F ADD BYTE PTR SS:[EBP+5F0E74C0],AL 00402146 |. B8 01000000 MOV EAX,1 0040214B |. 5E POP ESI 0040214C |. 81C4 A0010000 ADD ESP,1A0 00402152 |. C3 RETN 00402153 |> 6A 00 PUSH 0 ; /Protocol = IPPROTO_IP 00402155 |. 6A 01 PUSH 1 ; |Type = SOCK_STREAM 00402157 |. 6A 02 PUSH 2 ; |Family = AF_INET 00402159 |. E8 1E3A0000 CALL ; \socket 0040215E |. 8BF0 MOV ESI,EAX 00402160 |. 83FE FF CMP ESI,-1 00405D48 00 DB 00空白处 把上面特征代码传到空白处,跳传到00402161 00402140 ~~~00402160这块nop掉 跳传到空白处00405D48 然后保存到可执行文件winshell111.exe再用卡巴查杀就啥动静都没有了
阅读(2258) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~