今天难得被我在学校教室里擦机器,泡了诺顿和麦咖啡。 不管怎么说,这两款杀毒软件我还没有杀过,干脆改了比较好。
定位过程被免除,表示图案文件的位置。
诺顿的(开始偏移000B9A4D偏移大小00000007
修正咖啡(000B28B8处,就可以完成无杀
先生成为服务器端,然后用C32ASM打开,用十六进制,按Ctrl G跳到000B9A4D。 这些应该是程序控制名称和属性的定义,更改大小写不影响程序的正常执行。 选择包含000B9A4D_000B9A54的节,右键单击,选择“修改数据”,选择“反转大小写”,最后保存文件,在诺顿8.0enterprise中检查并将其杀死。 如果通过,测试在线成功。
PS :根据网上资料,诺顿的二维码基本定位于字符串,只要修改大小写就无杀。
接下来,在刚才的无杀修正的基础上,修正麦咖啡的特征代码。
用OC计算的文件偏移000B28B8的存储器地址为004B9CB8,用OD加载鸽子服务端,按Ctrl G跳至004B9CB8,查看该内容
004B9CB8 4E dec esi
这里是减法。 让我们看看那附近的汇编代码。
004B9CB0 4E dec esi
04 b 9cb 1004900 addbyteptrds : [ ecx ],cl
004B9CB4 43 inc ebx
04 b 9cb 5004 f 00 addbyteptrds : [ EDI ],cl
004B9CB8 4E dec esi
04 b 9cb 90000 addbyteptrds : [ eax ],al
各寄存器互不影响,也不存在堆栈和堆栈操作。 我们应该做的是改变004B9CB8的汇编代码,也改变特征码。 最简单的方法是将004B9CB8的代码写入程序后面的0区域,用JMP指令完成跳转。 但是,这里没有必要这样做。 更换004B9CB5和004B9CB8的代码后:
004B9CB5 4E dec esi
04 b 9cb 8004 f 00 addbyteptrds : [ EDI ],cl
很明显,004B9CB8的代码将更改为004B9CB5的代码,而004B9CB5的代码将更改为004B9CB8的代码,以便重新排序并保存文件。 麦咖啡通过了检查,测试在线成功。
最后,使用资源编辑工具(如Resource Hacker )删除hacker资源,并将修改后的服务器端文件命名为CServer.dat并复盖鸽子的Cache目录。