|
|
今天带来的是个简单的教程,主要是告诉大家方法和思路
——《驱动文件的免杀技巧》
驱动文件也就是SYS文件,一般在免杀这种文件的时候需要反复测试,如果改不好就会导致机器蓝屏或功能失效,所以对于新手朋友来说,驱动文件的免杀也许是件比较头痛的事情。
我们现在以PCSHARE的SYS为例,AVAST杀它的驱动文件,我们来看下
下面是定位出来的两种特征码,分别是正向定位与反向定位的结果
[正向特征码] 000****0385_000****0001
000****0382:E9 065****2378JMP 78***88D
杀这句JMP,这句JMP跳的地址很大,很奇怪,所以基本上无从下手,来看下反向的
[反向特征码] 000****0366_000****0001
000****0366:51 PUSHECX
一句PUSH,也许有人会想到改POP,但驱动文件是很严格的,这种压栈改弹栈的方法很可能导致兰屏
我们分别来看下这两处,
今天就来讲个修改的技巧,我看下这两处特征
000****0366:51 PUSHECX//反向的
000****0367:48 DEC EAX
000****0368:9A 5F2CE99C FDC9CALLFAR C9FD:9CE92C5F
00***36F:37 AAA
000****0370:0300ADD EAX,[EAX]
000****0372:0000ADD [EAX],AL
000****0374:65:3197 374DD8BDXOR GS:[EDI+BDD84D37],EDX
00***37B:AESCASBYTE PTR ES:[EDI]
00***37C:6D INS DWORD PTR ES:[EDI],DX
00***37D:30D3XOR BL,DL
00***37F:53PUSHEBX
000****0380:08F9ORCL,BH
000****0382:E9 065****2378JMP 78***88D//正向的
|
|
发表于 2008-9-24 14:02:44
