现在的免杀越来越不好做了,特征码定位得十分刁钻,今天我就来讲一讲如何对输入表进行免杀,用到的工具有WinHex LordPE OC
我以PCSHARE的DLL文件为例,这处是热瑞星的特征码 0000D4F4_00000002 用WinHex打开,可以看到定位在了输入表函数上。
我们用LoadPE大开看看,依次打开目录 输入表 找到函数名。
我们将它复制,向下找到一段空白区,重新写入。
用00将原函数名填充,并记下新函数名的文件偏移地址,也就是0000DCA3,用OC将它转换成内存地址,
也就是1000ECA3.
再到LORDPE中看看,函数名没有了。
接下来给出个公式 内存地址=RAV+RAV基址 ,RAV基地址可以在LORDPE中看到.
所以1000ECA3=10000000+RAV ,RAV=0000ECA3,这时还要注意,输入表函数名前有两个空格所以RAV=0000ECA1.我们在LORDPE 中找到刚才的函数名,点右键,编辑,填入0000ECA1,
点确定,看看函数名恢复了
保存后用这个生成服务端,正常上线。
至此输入表函数免杀完成