前一段时间一直比较郁闷,PcShare的一个问题一直困扰着我:
做Pc的免杀DLL文件已过瑞星
可是运行后声成的DLL文件却被杀
对被杀的DLL定位特征码在最后的"."上
这个问题我问过很多人,但是都没有得到理想的答案,我几乎已经放弃这个问题了,可是昨天在PCSHARE的网站上看到了PCSHARE作者冰雨的QQ,就问了他,真没想到居然的到了他耐心的指导,这才知道原来是特征码定位在了附加数据上,按他的指导找到一个教程,终于解决了这个问题,
我简单说一下过程,我免杀的是黑X专版的PCSHARE,首先将UPDATE文件夹下的文件PcInit.exe PcMain.dll PcHide.sys免杀,生成一个服务端,用OD载入找到004014A9,将这段用NOP填充,运行填充后的服务端,在windows\system32
文件夹下找到释放的DLL文件这个DLL文件只有配置信息,用C32AM打开将代码全部复制,粘贴在免杀后的PcMain.dll后再重新生成个服务端,用OD载入,跳到004014D3,将这段代码填充掉,运行即可多过瑞星查杀.
此外在免杀数据代码时参照了 夜苦寒的"DLL重定位之数据段ASCII字符串恢复[语音]"教程,在此表示感谢.
来源:Lupin's Security Blog
当前位置:
