找回密码
 开放注册

QQ登录

只需一步,快速开始

微信登录

微信扫码,快速开始

搜索
查看: 519|回复: 0

多种方法修改PCSHARE附加数据

[复制链接]

48

主题

187

回帖

312

牛毛

一级牛人

天行健.君子以自强不息

积分
312
QQ
发表于 2008-9-26 08:05:25 | 显示全部楼层 |阅读模式 来自 河南省开封市
今天给大家带来的是 【免杀不求人】多种方法修改PCSHARE附加数据。
关于附加数据的免杀方法,网上流传着许多相关教程,对有些朋友们来说,
这些教程似懂非懂,仍然有些朋友在这个问题上无从下手,
今天我分别用 PCSHARE 0224企业版 和 PCSHARE 1125免费版
为大家演示一下PCSHARE附加数据两种不同的修改方法,尽量傻瓜化操作。
希望通过这个动画能给大家带来一点帮助,牛人飞过吧~

方法一:修改附加数据加密算法(演示版本:PCSHARE 0224企业版)

需要修改的文件有pcshare.exe PcMain.dll PcInit.exe 三个文件

1 修改pcshare.exe文件时,用OD载入在代码段搜索XOR ECX,12
从这个值往前找,一直到5033c0为止,一共68个字节,
中间全部NOP掉,用以下二进制数据填充
5033C0EB0C8B55F883C210EB259****7403E7E8E9588B450****8945FCC745F800****0000EBDF8B4DF883C10***94DF8EBD4903B550C73***78B45FC0345F833C98A0883F150

2 修改PcMain.dll 文件时,用OD载入在代码段搜索XOR ECX,12
从这个值往前找,一直到5033c0为止,一共68个字节,
中间全部NOP掉,用以下二进制数据填充
5033C0EB0C8B55F883C210EB259****7403E7E8E9588B450****8945FCC745F800****0000EBDF8B4DF883C10***94DF8EBD4903B550C73***78B45FC0345F833C98A0883F150

3 修改PcInit.exe 文件时,用OD载入在代码段搜索XOR EAX,12
从这个值往前找,一直到5033c0为止,一共62个字节,
中间全部NOP掉,用以下二进制数据填充
5033C0EB088B45F883C010EB200F840****0000E7E8E9588B450****8945FC8365F800EBE28B45F84***45F8EBD9903B450C73***68B45FC0345F80FB60***83F050

我们分别用修改前、后的程序生成一个服务端,提取释放的DLL比较一下有什么不同

优点:一次修改,长期适用;
缺点:修改麻烦,版本之间的兼容性差。


=================================================================================

方法二:禁用程序写入附加数据(演示版本:PCSHARE 1125免费版)


需要修改的文件有 PcMain.dll PcInit.exe 两个文件

1 首先我们要配置生成一个服务端,(这个配置信息一定要记住)
我们监视系统目录,运行服务端,提取释放的DLL文件,
这时这个DLL文件的附加数据是不免杀的,我们要定位出这里的特征码
做一下免杀,假设这里的特征码是这里,我们直接00填充,
然后替换UPDATE文件里的PcMain.dll文件,这个PcMain.dll已经保存了上线信息。

2 用OD载入PcInit.exe文件,查找所有模块间的调用
从上往下找到第二个WriteFile,跟随到反汇编窗口
将注释的这段代码NOP掉,这样程序就不会往DLL文件里写入上线信息了
因为刚才释放的DLL文件里已经写入上线信息了,不会影响服务端上线,保存修改。

我们分别用修改前、后的程序生成一个服务端,提取释放的DLL比较一下有什么不同

优点:修改简单,通用于所有版本;
缺点:适用性差,变更上线信息时,需要重新做起。
您需要登录后才可以回帖 登录 | 开放注册

本版积分规则

帮助|Archiver|小黑屋|通信管理局专项备案号:[2008]238号|NB5社区 ( 皖ICP备08004151号;皖公网安备34010402700514号 )

GMT+8, 2025-1-15 21:06 , Processed in 0.120340 second(s), 23 queries , Yac On.

Powered by Discuz! X3.5

快速回复 返回顶部 返回列表