|
今天给大家带来的是 【免杀不求人】多种方法修改PCSHARE附加数据。
关于附加数据的免杀方法,网上流传着许多相关教程,对有些朋友们来说,
这些教程似懂非懂,仍然有些朋友在这个问题上无从下手,
今天我分别用 PCSHARE 0224企业版 和 PCSHARE 1125免费版
为大家演示一下PCSHARE附加数据两种不同的修改方法,尽量傻瓜化操作。
希望通过这个动画能给大家带来一点帮助,牛人飞过吧~
方法一:修改附加数据加密算法(演示版本:PCSHARE 0224企业版)
需要修改的文件有pcshare.exe PcMain.dll PcInit.exe 三个文件
1 修改pcshare.exe文件时,用OD载入在代码段搜索XOR ECX,12
从这个值往前找,一直到5033c0为止,一共68个字节,
中间全部NOP掉,用以下二进制数据填充
5033C0EB0C8B55F883C210EB259****7403E7E8E9588B450****8945FCC745F800****0000EBDF8B4DF883C10***94DF8EBD4903B550C73***78B45FC0345F833C98A0883F150
2 修改PcMain.dll 文件时,用OD载入在代码段搜索XOR ECX,12
从这个值往前找,一直到5033c0为止,一共68个字节,
中间全部NOP掉,用以下二进制数据填充
5033C0EB0C8B55F883C210EB259****7403E7E8E9588B450****8945FCC745F800****0000EBDF8B4DF883C10***94DF8EBD4903B550C73***78B45FC0345F833C98A0883F150
3 修改PcInit.exe 文件时,用OD载入在代码段搜索XOR EAX,12
从这个值往前找,一直到5033c0为止,一共62个字节,
中间全部NOP掉,用以下二进制数据填充
5033C0EB088B45F883C010EB200F840****0000E7E8E9588B450****8945FC8365F800EBE28B45F84***45F8EBD9903B450C73***68B45FC0345F80FB60***83F050
我们分别用修改前、后的程序生成一个服务端,提取释放的DLL比较一下有什么不同
优点:一次修改,长期适用;
缺点:修改麻烦,版本之间的兼容性差。
=================================================================================
方法二:禁用程序写入附加数据(演示版本:PCSHARE 1125免费版)
需要修改的文件有 PcMain.dll PcInit.exe 两个文件
1 首先我们要配置生成一个服务端,(这个配置信息一定要记住)
我们监视系统目录,运行服务端,提取释放的DLL文件,
这时这个DLL文件的附加数据是不免杀的,我们要定位出这里的特征码
做一下免杀,假设这里的特征码是这里,我们直接00填充,
然后替换UPDATE文件里的PcMain.dll文件,这个PcMain.dll已经保存了上线信息。
2 用OD载入PcInit.exe文件,查找所有模块间的调用
从上往下找到第二个WriteFile,跟随到反汇编窗口
将注释的这段代码NOP掉,这样程序就不会往DLL文件里写入上线信息了
因为刚才释放的DLL文件里已经写入上线信息了,不会影响服务端上线,保存修改。
我们分别用修改前、后的程序生成一个服务端,提取释放的DLL比较一下有什么不同
优点:修改简单,通用于所有版本;
缺点:适用性差,变更上线信息时,需要重新做起。 |
|