UC知道关于免杀的问题
来源:百度知道 编辑:UC知道 时间:2024/09/28 15:05:47
我做免杀时,找到了特征码,也用C32Asm跳到特征码,但我不会改,七个物理长度,“CF E9 2C FF FF FF 5B"
后来我试了一下,把他们都变为“00”
可没想到用不了又如下图,老是关闭,打不开
郁闷
后来我试了一下,把他们都变为“00”
可没想到用不了又如下图,老是关闭,打不开
郁闷
没有定位好特征码
再说也不能全改成00 这样成功的几率很小
一般定位要在1-3个长度才算成功
00填充 是填掉了特征码
但是你要知道不运行
免杀在好不也是白搭吗??
--------------------------
建议: 将特征码再HEX模式下的图片截一下
你可以用等价替换或者是跳转
很明显你的特征码周围有很多的类似于y东西
这一出免杀应该不是很难
都填充00?亏你想的出来 哈哈 那样会破坏代码正确执行的当然打不开了 你不用把这七个字节都修改了 只要改两个字节就可以达到免杀了
那么你把地址用OC变成内存地址,然后用OD载入,然后修改
因为你可能把内存平衡破坏了。一般直接00填充都可能出问题
还不如JMP跳转来得好啊!!