欢迎来到 黑吧安全网聚焦网络安全前沿资讯,精华内容,交流技术心得!

DLL免杀及内存定位

  • 软件大小:11.5 MB
  • 软件语言:简体中文
  • 软件类型:综合教程
  • 软件授权:免费教程
  • 更新时间:2007-08-12
  • 标签:
  • 开 发 商:http://www.myhack58.com
  • 应用平台:WinXP, Win7, Win8, WinAll
软件评分
网友评分:3

同类人气软件

立即下载

DLL免杀及内存定位软件介绍

--------------------------------
黑客动画吧
http://www.hack58.com

致力于中国最专业的黑客安全站点

黑客动画吧,有你更精彩

-------------------------------

大家好

我是小东¢酷儿(黑吧ID:cici584522)

今天在黑吧论坛看到有位朋友问 DLL文件瑞星内存如何定位

我找了下。黑吧关于这个的教程的确少

今天就来做一个

我就拿鸽子的键盘记录插件做演示

先来查下,我们先来过表面吧。有些问题也请菜鸟注意下

首先打开OD加个花

003EA8A8原入口点
003EA92C   新入口


非常简单的花


这里注意

显示出的地址与真实地址有写出入。。。我们只取不同点

现在仍不能过瑞星,来定位吧

拿OC来转换下地址 0040A8D8 内存地址 这里还是要注意 0040A8D8直接输入这个可是找不到的

这里只取后4位,看不懂的要自己慢慢琢磨下。并不难

003EA8D6  |.  B8 F0C73E00   MOV EAX,1.003EC7F0
003EA8DB  |.  B9 10A93E00   MOV ECX,1.003EA910                       ;  ASCII "PluginCNLOG.DLL"


这2段特征是记录插件的关键地点。。无论移动还是修改。。都会让插件失效

但我们可以把他们周围的可以跳的跳开。看我操作/。。。。。。。。。。。

003EA8D3  |.  8B55 C0       MOV EDX,DWORD PTR SS:[EBP-40]

上面这句可以移动
003EA945      8B55 C0       MOV EDX,DWORD PTR SS:[EBP-40]
003EA8D5      90            NOP

查下,表面过了。 现在载入到鸽子里去看看改烂没

上线了。看看能记录否。能记录。呵呵

但现在并不免杀内存。。MYCCL是无法定为DLL内存的。我们来看看

只有用OD的一半一半定位法。或许很多朋友都不知道这个办法

我就来演示下。。分块每次只分2个

然后打开OD,一个一个载入后查杀

这个分块没查到。。查到的是我的鸽子主程序

看下一个分块,这个杀出来了。然后我们手功删掉分块

然后2次处理,DLL的内存定位是非常耗时与麻烦的

这2个已经查不出来了。。我们继续看

就这样以此类推的查下去。。跟文件定位也差不多了

好了。。教程结束

谢谢关看

欢迎菜鸟加 599404 此群学习。。

  • 热门下载