‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[提问] 郁闷了一个月的特征码

一鸣掘坟

一年级

Rank: 1

帖子
161 
精华
0 
威望
4 度 
金币
260 枚 
最后登录
2008-11-30 
1# 发表于 2008-8-28 14:52  只看该作者

郁闷了一个月的特征码

想到此句特征码~~~就像
前后问了不少高人~~~~结果发现
thunk值与w32里的文件地址竟不相等~~~~~~~~郁闷啊          
怪不得我移动了他 里面的名称竟没变~~
可是这句函数只有在这个dll文件里有           并且修改后木马上不了线   
大家看看有没有好的办法

附件

1.jpg (675.24 KB)

2008-8-28 14:52

注意里面的thunk值

1.jpg

2.jpg (107.22 KB)

2008-8-28 14:52

2.jpg

TOP

hacker_r

二年级

Rank: 2Rank: 2

帖子
258 
精华
0 
威望
6 度 
金币
653 枚 
最后登录
2008-11-14 
2# 发表于 2008-8-28 15:23  只看该作者
thunk值=RVA虚拟偏移-镜像基址值!
应该是杀输入表函数!移动输入表函数到最后面试试!
希望这个帖子对你有帮助!
http://www.hackerxfiles.net/viewthread.php?tid=116868&page=1#pid883227

[ 本帖最后由 hacker_r 于 2008-8-28 15:29 编辑 ]
弱水三千,只取一瓢饮。娇玫万朵,独摘一枝怜!

TOP

helei157

学前班

帖子
11 
精华
0 
威望
0 度 
金币
32 枚 
最后登录
2008-10-7 
3# 发表于 2008-9-3 17:17  只看该作者
学习了

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题

Processed in 0.428870 second(s), 6 queries, Gzip enabled