以下是代码片段： 【深层】伪装 PEtite 2.2 -> Ian Luck  汇编代码： ============================ 伪装代码部分： ============================ mov eax,0040E000 push 004153F3 push dword ptr fs:[0] mov dword ptr fs:[0],esp pushfw pushad push eax xor ebx,ebx pop eax popad popfw pop dword ptr fs:[0] pop eax jmp XXXXXXXX        '执行到程序的原有OEP ============================ 【深层】伪装 WCRT Library (Visual C++) DLL Method 1 -> Jibz  二进制代码 + 汇编代码： ============================ 伪装代码部分： ============================ 使用二进制粘贴以下代码： 55 8B EC 83 7D 0C 01 75 41 A1 C0 30 00 10 85 C0 74 0A FF D0 85 C0 75 04 6A FE EB 17 68 0C 30 00 10 68 08 30 00 10 E8 89 00 00 00 85 C0 59 59 74 08 6A FD FF 15 08 20 00 10 68 04 30 00 10 68 00 30 00 10 E8 52 00 00 00 59 59 粘贴完毕后，再添加2行汇编语句： jmp XXXXXXXX        '执行到程序的原有OEP retn 0C 1。伪装 vc VC++程序的入口代码: PUSH EBP                    MOV EBP,ESP                  PUSH -1                      push 415448            -\___ PUSH 4021A8            -/  在这段代码中类似这样的操作数可以乱填      MOV EAX,DWORD PTR FS:[0]          PUSH EAX                    MOV DWORD PTR FS:[0],ESP          ADD ESP,-6C                  PUSH EBX                    PUSH ESI                    PUSH EDI  ADD BYTE PTR DS:[EAX],AL  /这条指令可以不要! jmp 跳转到程序原来的入口点 ****************************************************************************************** 2。跳转 somewhere:                nop            /"胡乱"跳转的开始...     jmp 下一个jmp的地址  /在附近随意跳     jmp ...          /...     jmp 原入口的地址    /跳到原始oep <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< 新入口: push ebp     mov ebp,esp     inc ecx     push edx     nop     pop edx     dec ecx     pop ebp     inc ecx     loop somewhere    /跳转到上面那段代码地址去！ [1] [2] [3] [4] 下一页

责任编辑：朱倩　　联系方式 　Email：朱倩 电话：51228163

上一篇黑客： DOS下破除Windows XP登陆密码 下一篇黑客： 木马免杀的一点见解

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】