莪用的是黑X版的PcShare，sys和exe都能免杀，dll莪找到的特征码是000000E8_00000002。。。
但是用OC计算内存地址的时候出了问题

3.jpg (15.41 KB)

2008-8-30 21:13

所以莪就用C32来免杀，
C32的000000E8处特征码如下：PUSH EAX
莪尝试用跳转，但是跳转后再生成被控端就无法运行被控端了……


求高手指点……

Dll的学名叫动态数据库连接文件（dynamic link library）它也是一种可执行文件，不过和我们平常见的.EXE文件有所不同，DLL文件需要插入到EXE文件中才能运行。也就是说因为OC是根据文件的镜像基址来计算的，所以当文件载入后镜像基址就会发生变化~~
eg:假设DLL的文件镜像基址为1000
特征码为1100，就是说特征码在基址下地100处，1100++
用OD载入后基址变为2000特征码就为2000+100=2100处
做免杀时你直接用OD载入DLL的话，OD会用loaddll.exe来加载DLL文件
所以按下ALT+Ｍ会弹出Memory map可以看到PCmain.dll的新基址，再次可以像上面一样计算出特征码位置所在。XIAOYY个人见解

XIAOYY 水平真高，今天又涨知识了，非常感谢

进来学习一下，DLL免杀得学问。

呵呵……正想学习一下呢…………

呵呵，学习一下

不对锕……就算是这样，莪用跳转法或者是大小写转换之后，再生成服务端仍然不能打开……这是为什么？

如果我没猜错的话那个E8的位置应该正好是定位在PE的P上！（是不是dll只定位出这一处特征码呀！嘿嘿…… ）
如果是的话！8成是定位错误！MYCLL中开始位置填400！再重新定位！

还真是在P上……可是，莪用00填充后瑞星是不查杀了锕……

呵呵！你说的一点也不错！你把P用00填充瑞星是不会报毒！瑞星那是迷惑你！它想骗你！想让你找不到特征码！也就是反免杀！
Pcshare过瑞星时，MYccl原来默认给填的东西要多改成别的！
如图：

1.jpg (15.66 KB)

2008-8-31 17:25

这开始位置填400就可以，400已经不在PE头范围内了！，我给你标注的其它3处你要灵活改动！看你自己怎么耍瑞星了……
（俺自己让它耍了好几次……）

[ 本帖最后由 hacker_r 于 2008-8-31 17:39 编辑 ]