灰鸽子2006内存特征码快速定位
首先向大家道个歉,我的上一个动画:pcshare2006免杀技巧 里关于PcHide.sys的免杀,其实这个文件的免杀是不能加壳的,加壳后就达不到隐藏通信的目的的,加壳是能过了江民,但是已失去的它本来的意义和作用了.建议大家加密后再定位特征码以达到免杀的效果.因为我只考虑到免杀,却忽略了这个问题.在这里向大家说声对不起.

这次给大家带来的动画是:灰鸽子VIP2006瑞星内存特征码的快速定位
希望大家喜欢,同时希望大家继续支持我,呵呵,做更多的动画.

0604.exe是我配置好的服务端,服务端版本是:0604

先导出里面的dll文件
其实经过我测试,瑞星内存杀的是这个文件:getkey.dll
只要这个geykey.dll内存过了,整个服务端内存就过了.

用OD载入
先查杀一下 ,杀了吧?
具体方法是:
用OD载入后,拉到整个区段的中间,把一半区段的代码用NOP填充,要是杀了,就说明特征码不在被NOP的地方,要是不杀的话,就说明特征码在这一部分被NOP的地方,然后再依此方法,缩小范围,一步一步确定特征码所在的位置.
这就是所谓的一半一半定位法.

用OD载入getkey.dll,拉到整个区段的最上端,从最上面向下用NOP填充,填充到一半行了,
向下填充到这儿:003D7BA7
再查杀
不杀了,说明特征码在最上面到这:003D7BA7
这一个大段
关闭程序,重新载入
再从这儿003D7BA7向上填充,再到一半的地方
特征码应该就是在003D7BA7向上到003D4370这个位置了,
下面再来准确的定位
再把003D7BA7到003D4370这一半填充
大概吧,也不用太准确,

杀了,说明特征码不在003D7BA7到003D4E87 处,而应该在003D4E87向上到003D4370处
有点乱了^^^^^
从003D4E87一路填上,填到得出为止

003D4E87---003D4934无----003D3BEA 有了

很有可能是在这一处:
003D4934--003D3BEA 范围更小了

003D4934---003D47ED  无------003D44DB   有

003D47ED  无------003D44DB  可能在这了

003D47ED---003D472A 应该是在这儿了
一个很很小的范围了
大家看这么小一个范围有什么特别的吗?
因为大家都知道,瑞星内存的特征码一般是ascii码的.
所以,我一看就看出了,特征码是:
003D4758       .  53 6F 66 74 77 61 72 >ascii "Software\Borland"
003D4768       .  5C 4C 6F 63 61 6C 65 >ascii "\Locales",0
003D4771          00                    db 00
003D4772          00                    db 00
003D4773          00                    db 00
003D4774       .  53 6F 66 74 77 61 72 >ascii "Software\Borland"
003D4784       .  5C 44 65 6C 70 68 69 >ascii "\Delphi\Locales",0
就这一段:
不信,看下
果然
下面来修改
大小写转换就可以了
先杀下先
修改完,再杀下
Ok,修改对了
没错的.

其实本来这个动画是快速定位,但却做了这么久^^^^5555
不过其实大家只要学会这种方法,真的是快得很啊,我做的时候就是那么两分钟左右,做动画却做了这么久了……
                                                                  www.27a.cn欢迎大家