• 華彩軟件站-綠色軟件下載站!

    輸入表免殺之函數名轉移

    來源:hi.baidu.com/lupin1314
    現在的免殺越來越不好做了,特征碼定位得十分刁鉆,今天我就來講一講如何對輸入表進行免殺,用到的工具有WinHex LordPE OC
        我以PCSHARE的DLL文件為例,這處是熱瑞星的特征碼 0000D4F4_00000002 用WinHex打開,可以看到定位在了輸入表函數上。






    我們用LoadPE大開看看,依次打開目錄 輸入表 找到函數名。


    我們將它復制,向下找到一段空白區,重新寫入。


    用00將原函數名填充,并記下新函數名的文件偏移地址,也就是0000DCA3,用OC將它轉換成內存地址,
    也就是1000ECA3.


    再到LORDPE中看看,函數名沒有了。


    接下來給出個公式    內存地址=RAV+RAV基址 ,RAV基地址可以在LORDPE中看到.


    所以1000ECA3=10000000+RAV ,RAV=0000ECA3,這時還要注意,輸入表函數名前有兩個空格所以RAV=0000ECA1.我們在LORDPE 中找到剛才的函數名,點右鍵,編輯,填入0000ECA1,


    點確定,看看函數名恢復了


    保存后用這個生成服務端,正常上線。

    相關文章

      無相關信息

    最新評論

    返回頂部
    好运彩