UC知道懂汇编知识的朋友进(免杀问题)
来源:百度知道 编辑:UC知道 时间:2024/09/20 15:00:35
特征码 物理地址/物理长度 如下:
[特征] 00002800_ 内存地址 00410400
载入OD跳转到00410400地址后显示的是
00410400 69BA 0C031014 1>IMUL EDI,DWORD PTR DS:[EDX+1410030C],AA2>
滚动鼠标轮显示下面这几行代码.
004027FC: BC 909AA669 MOV ESP,69A69A90
00402801: BA 0C031014 MOV EDX,1410030C
00402806: 181C20 SBB [EAX],BL
00402809: AA STOS BYTE PTR ES:[EDI]
00000E5E_内存地址 0040EA5E
OD中跳到0040EA5E地址后代码段显示的是 CMC
请问我该怎样修改能达到免杀的目的..
mov指令知道啊.
地址已经定位准确了 大小在2字节以内..后面那个是内存地址我用OC转的
通用跳转出错。...
[特征] 00002800_ 内存地址 00410400
载入OD跳转到00410400地址后显示的是
00410400 69BA 0C031014 1>IMUL EDI,DWORD PTR DS:[EDX+1410030C],AA2>
滚动鼠标轮显示下面这几行代码.
004027FC: BC 909AA669 MOV ESP,69A69A90
00402801: BA 0C031014 MOV EDX,1410030C
00402806: 181C20 SBB [EAX],BL
00402809: AA STOS BYTE PTR ES:[EDI]
00000E5E_内存地址 0040EA5E
OD中跳到0040EA5E地址后代码段显示的是 CMC
请问我该怎样修改能达到免杀的目的..
mov指令知道啊.
地址已经定位准确了 大小在2字节以内..后面那个是内存地址我用OC转的
通用跳转出错。...
两个mov换下位置。肯定OK啦
⊙﹏⊙b汗
很复杂 研究好久也没研究明白 还是加壳简单
特征] 00002800_ 内存地址 00410400
。。。。还没定位完
用OC转完你用什么打开那个地址的?
这个可不好说 你连mov指令都不知道的话一时半会儿和你也说不明白
通用跳转就是了撒~~