黑客X档案官方论坛's Archiver

xiahack 发表于 2008-7-30 21:21

上兴木马免杀问题!请高手解答!

OR      CL, [BYTE DS:EAX+D455017A]
我木马做免杀,这个汇编怎么改?谁知道!谢谢!
我直接nop程序就会出错!所以,请各位老鸟给个方法啦!谢谢!

hackert 发表于 2008-7-30 21:41

::41:: ::41:: ::41::

xiahack 发表于 2008-7-30 22:08

0046CB33:  21C2                       AND     EDX, EAX
0046CB35:  9F                         LAHF
0046CB36:  01F9                       ADD     ECX, EDI
0046CB38:  0252 99                    ADD     DL, [BYTE DS:EDX-67]
0046CB3B:  0A88 7A0155D4              OR      CL, [BYTE DS:EAX+D455017A]
0046CB41:  C000 00                    ROL     [BYTE DS:EAX], 0
0046CB44:  0000                       ADD     [BYTE DS:EAX], AL
0046CB46:  0000                       ADD     [BYTE DS:EAX], AL
0046CB48:  0000                       ADD     [BYTE DS:EAX], AL
具体是这样的!谁能告诉下!

xiahack 发表于 2008-7-31 07:06

各种方法都试了!还是解决不了!

xiao0440 发表于 2008-8-2 00:15

把上一句NOP掉就行了,不行再说

297456066 发表于 2008-8-2 12:42

把OR改AND试试

Deroemon 发表于 2008-8-2 12:47

Deroemon

:face20 :face20 :face20

bk7477890 发表于 2008-8-2 15:53

Jmp 借宿地址
OR      CL, [BYTE DS:EAX+D455017A]
JMP 与地址加增加长度
大概原理

w62572894 发表于 2008-9-4 01:02

不晓得了!!!!!!!!!

HomeSGerMine 发表于 2008-9-7 09:37

把那一句复制到0区域,然后吧原来的改成jmp +你那0区域的地址,试试看....

HomeSGerMine 发表于 2008-9-7 09:38

然后再跳回来jmp的那句

页: [1]


Powered by Discuz! 6.1.0  © 2001-2007 Comsenz Inc.