好友
阅读权限35
听众
最后登录1970-1-1
|
本帖最后由 1354669803 于 2013-7-14 12:17 编辑
看了@wonderzdh 大大的分析 然后自己跟了下 发现可以这样写 只不过这样写虽然是可以用 但是有蓝屏 需要干掉蓝屏
我正在想办法通过patch数据来达到修改蓝屏的目的 不然太坑爹啦 他的思路是不错 不过对于VM以后就挂了
然后特征的话你们会用就用 不会用我也不多说什么 只是说我研究了一上午的成果做一个记录罢了 我不想解释
这个特征本来是不想放出的 是打算放在本人的培训班教程的 不过现在放出来倒也没什么 思路可以再研究
思路就是把关键的一跳通过mov 的形式转换出来 虽然VM改变了代码的形状 但是实质上该跳的还是会跳
假如说jnz跳到一个地址 是实现的状态 那么VM了 也就是这句代码变形 它实际上还是跳到了那个地址 不会改变
而我们假如不想让他跳到那个地址也就是让跳转失效 就通过修改值与值来改变ZF标志位
假如jnz上面的比较是cmp eax,0 也就是eax=0就不跳 eax≠0就跳 我们想让他不跳就是xor eax,eax 两值相等jnz不跳
大概就是这么个意思 好了 不多说了 看在我研究这个特征一上午的分上 要加点CB和热心啊 不然我以后再也不要分享了
再次感谢@wonderzdh 如果没有他的思路我也想不到 哈哈
55 8B EC 81 EC 18 00 00 00 C7 45 FC 00 00 00 00 C7 45 F8 00 00 00 00 C7 45 F4 00 00 00 00
上面的原来的特征 下面的后来特征 替换下就可以了
B8 01 00 00 00 55 8B EC 83 EC 18 C7 45 FC 00 00 00 00 C7 45 F8 00 00 00 00 C7 45 F4 00 00 00 00
8B E5 5D C2 0C 00
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2013-7-14 12:15
|
发表于 2013-7-14 12:16
