详谈 vc++源码免杀全套思路方法
生活随笔
收集整理的這篇文章主要介紹了
详谈 vc++源码免杀全套思路方法
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
首先說中國國內殺毒軟件的特征 。
1??金山毒霸 ,我個人覺得殺的代碼部分和字符串還是比較普遍的 。輸入表函數 我個人不多見 。
2??瑞星 ,經實戰經驗 ,瑞星殺毒軟件是垃圾。 過掉金山 也就過瑞星了??除非殺敏感的字符串 。
3??江民 ,純屬基本就是殺字符串 。。 大家可以進行 隱藏代碼 就可以。。你懂得
4??也就是大家最頭疼的??360殺毒 。這個就是重點。因為過掉360 -5引擎 基本國內就差不多了。
簡單介紹下 ,360云查殺+BD常規+qvm+國外引擎小紅傘+主動防御??。
--------------
詳談360各大引擎套路 你懂得...
(1)360云查殺 ,其實就是qvm和紅傘的 集成版??。 也就是云qvm??實時鑒定 、 也是大家最頭痛的。
(2)BD引擎 我個人懷疑 也有點智能??。有時候大家會認為定位不到或者定位錯誤 。也就是本地殺代碼 函數 等等都有可能吧,我個人過BD 不太感冒??所以沒有深入研究。
(3)qvm ,所謂qvm引擎 其實就是 高啟發+行為判斷+特征??..這個毫無疑問??智能引擎 。
(4)紅傘 ,也就是跟qvm差別不大 。也屬于智能 。大部分在殺行為。
(5)主動防御引擎,其實不存在 。也就是衛士 提示主動防御。(也就是說過掉表面 不過提示那是白費)
-------
詳談360 各引擎的 定位套路 方法 以及思路。
前提,注釋掉 區段合并 + 延遲加載+ 優化 。刪除版權信息 以及圖標 (這里也是在排除可能性)以及查看模式R 模式, 不要用debug模式??,那是調試模式 。(必然 必須的)
其實過掉360 引擎 。也許還有很多方法,我只說說我的定位套路。
第一步??斷網 ,關閉所有引擎 ,開啟云殺 ,也就是定位云殺的本地 。 很垃圾很好過。
第二步,繼續過BD??,定位 方法 一樣, 正向 跳過1000 頭 。(源碼免殺不可能殺頭 所以跳過1000頭)定位??根據定位情況解決??..
第三補步,關閉所有殺軟,定位qvm??。方便做定位正確 ,那么我們要加上 反調試代碼??(我個人是必須的)以及其他手段 ,因為qvm 是智能的 。大家都知道 qvm殺的百分百是輸入表函數 。所以 大家就要逐一 填充定位。(你懂得)填充到哪里 哪里不殺??那么好吧??就是那個dll里 。 所以 反向定位那個段。基本不會有什么問題 ,然后逐一的填充??逐一定位 。這里給大家舉例,kernel32.dll +user32.dll 這個2個dll填充。那么就在這里 ,(一般填充跳過 GetProcAddress和LoadLibrary 因為殺那2個函數 說明是假的,定位錯誤。所以沒必要。) 這樣定位來 ,如果還是定位不到,那么就是殺的行為判斷,需要反調試代碼。或者大家可以進行預處理來測試 。比如說 轉換大小和最快模式 ,加 減 去版權和圖標,都會影響到整個特征的排序。如果那樣進行轉換 排除 填充所有常見dll還是被殺 ,那么就可以選擇放棄 。或者找更有效的反調試方法。
第四 , 小紅傘引擎 。也是大家頭疼的問題。 我個人的實戰經驗 過掉小紅傘??基本上要加版權的。不知道怎么搞的。我也郁悶 也沒深究。沒有版權 怎么著 都會殺。我個人認為 。。然后定位方法 基本跟qvm差不多 也是智能 。 一般總會定位錯誤函數,沒關系 繼續定位 , 過掉智能 要就是耐心 。
第五, 也是大家最頭疼的問題 ,云查殺 ..我個人表示鴨梨很大。上面我也介紹了??這里再簡單說一下云查殺思路 。也就是云的實時鑒定 ,通過什么呢?那么就是qvm和紅傘的引擎庫了。 估計還有其他行為 ,有待研究。(據了解 360開發者 是一群黑客.你懂得是什么意思)言歸正傳 ..云查殺??需要聯網定位的。 但是想過掉云查殺??必須要過掉前面幾個引擎 。最后過云殺 。云殺也是一樣??殺的是輸入表函數 ,我以前認為云殺 是人工一秒云鑒定 。后來發現貌似不是,是個云qvm.很繁瑣很繁瑣的 。 提起云殺我就惡心 。但我不得不說 實在是太強悍 太強悍了。 加上qvm和紅傘。簡直就是讓免殺者感覺很蛋疼的一件不蛋疼的事。定位方法 需要正向定位 ,也是逐一去圈。去排除 。傅哥說,動態調用10個函數以上 ,假如可以過掉,那么你下次再拿這套源碼定位的時候??很難很難, 可以說基本沒什么辦法過掉 ,也就是說定位不到輸入表函數 。就算定位到??也是些不能調用的地方 函數、。 相信大家都有一套自己的方法,這里我就不廢話了。還有一點好多情況 會殺資源??具體方法很多 。大家去JKC 殘殼等等 論壇找找相關教程 很好解決 。比如過掉dll但是殺dat的dll資源,那么填充MZ頭,在exe的源碼里加代碼??運行釋放dll 加上MZ 。呵呵 這個你也懂得 。
-----------
說實話, 我暫時只能想到這些 。 具體 要靠自己 要靠實戰經驗??更要有耐心 。有時候我也會為一個問題 郁悶一個星期 。。所以不要輕易放棄 。
----------
總結以上
360 , 強??強的很 。 但是過掉他 方法很多??具體我不說qvm和紅傘 , 就說云引擎。比如說upx壓縮??可以過掉,現在不知道封了沒??。 其實玩黑 ,就是舉一反三??活學活用??不管是什么 。不管是免殺??還是滲透??。要對自己有信心??。 一天不行 兩天??兩天不行三天, 當初我因為免殺實戰 ,差點走火入魔了。呵呵 ,總結我不說思路,只說自己要有耐心 , 就像是賺錢養老婆是一回事 。放棄了什么都不要說 ,成功了一過掉殺軟,那么 滿足感是有的??說明什么??你懂得 呵呵 。。。跟大家扯淡一會 。。
--------------
好繼續說。
反調試代碼我就不發給大家了 網上也有, 或者去下載多點源碼??好多源碼都處理過, 所以要學會借鑒 ,別人的代碼和花指令 。發下 常用的動態調用以及 字符串隱藏 等,
1.字符串連接
//
//把字符串"canxin"連接起來(字符串連接法)
char *str1="can", *str2="xin",*str3=NULL;
str3=new char[strlen(str1)+strlen(str2)+1];
strcpy(str3,str1);//把str1所指由NULL結束的字符串復制到str3所指的數組中
strcat(str3,str2);//把str2所指字符串添加到str3結尾處(覆蓋dest結尾處的'\0')并添加'\0'
//這樣就實現了str3=str1+str2,把str1和str2連接起來了
//
2.字符串隱藏
char XXX[] = {'c','a','n','x','i','n','\0'};
3.動態調用
***************定義*******************
HANDLE
WINAPI
CreateToolhelp32Snapshot(
? ? DWORD dwFlags,
? ? DWORD th32ProcessID
? ? );
***************列子*******************
typedef HANDLE (WINAPI *CreateToolhelp32SnapshotT)
(
? ? DWORD dwFlags,
? ? DWORD th32ProcessID
? ? );
CreateToolhelp32SnapshotT pCreateToolhelp32Snapshot= (CreateToolhelp32SnapshotT)GetProcAddress(LoadLibrary("KERNEL32.dll"),"CreateToolhelp32Snapshot");
4.異常try catch
//列子//
UnhookWindowsHookEx(m_pTShared->hGetMsgHook);
//列子//
-------------------------生成后-------------------------
char canxin=1;
try
{
if(canxin=1)throw 31;
}
catch (...)
{
UnhookWindowsHookEx(m_pTShared->hGetMsgHook);
}
-------------------------生成后-------------------------
----------------
下面談一下常見的問題 ,比如說BD??云本地,等等常見定位 錯誤 以及常見解決方法。比如說常見定位BD ,一次生成 ,查殺, 生成20塊,查殺20塊,大家有可能誤解 定位錯誤 死循環。 其實非也,可以繼續定位繼續二次??。知道定位2大小,不殺為止,找到特征地址在OD里的位置,進行上下探查,有沒有調用或者字符串的形式 ,然后再繼續 搜索關鍵??在源碼里的位置。進行分析特征 ,找到那句源代碼 在上面進行加花 等處理 。還有一種可能性,無法定位到 真正的特征位置。 可以通過調試 。比如說 我個人常用的一句代碼加在main函數頭下,加 “? ?HKEY ck;
char strreg[] = {'S','O','F','T','W','A','R','E','\\','O','D','B','C','\0'};
if(ERROR_SUCCESS!=RegOpenKeyEx(HKEY_LOCAL_MACHINE,(LPCTSTR)strreg,0,KEY_ALL_ACCESS,&ck))?
{
??return 0;
}? ?? ?? ???”
這樣直接可以直接過掉,??有時候也要看情況 進行處理, 首先就是要做好預處理? ?我個人一般 去掉所有優化 延遲 以及區段的處理代碼 。??云本地 ,其實就是斷網 定位的云的本地特征??一般不會殺 。但是強烈建議 過360 要逐一過,??不能 紅傘和qvm一起過, 也不能云本地和BD 一起正向定位, 那樣 不行,我還是懷疑BD也有干擾效果??。所以,除云查殺意外, 其他都更新最新庫??進行斷網 。全部過掉,再聯網過云。
-----------------
接下來再說一下常見過云查殺技巧??,常見一般dll和dat已經過掉, 但是生成木馬 卻被干掉,這是因為行為 或者是dll和dat的行為, 或者殺到了 dll在exe里的資源 ,也就是說資源也是重點??大家進行排除,還有一個就是加個正規文件資源進去 ,這樣也有效果 ,如果生成還殺 那么填充資源頭 進行處理等等。然后配置信息里 服務名稱等 隨便輸入 不要輸入敏感字符 ,比如說360. 或者什么模塊什么的。都是敏感的 。
------------
現在簡單談一下??過提示這一方面 ,其實現在的360 已經基本把全部精力 放在了云和qvm這里 。 而安全衛士過掉的難度 也大大降低。所以過提示基本沒什么難度 ,再一個就是衛士的本地引擎,以及云引擎。這個我覺得沒必要多說, 就是一秒云鑒定, 沒什么雞肋的方法 。只有定位衛士? ?。往往有時候qvm那云和殺軟的云??殺到的特征不太一樣,??可能庫也不一吧??。這個大家進行測試 ,進行排除 應該不難 。現在就是2個問題,一個云查殺 , 再一個就是 重啟上線問題,? ?以及防上傳 ,這些都是必須的。思路就不說了,大家可以去論壇探討 或者多看看教程 。
--------------------------
給大家點代碼 ,反調試
? ? HKEY ck;
char strreg[] = {'S','O','F','T','W','A','R','E','\\','O','D','B','C','\0'};
if(ERROR_SUCCESS!=RegOpenKeyEx(HKEY_LOCAL_MACHINE,(LPCTSTR)strreg,0,KEY_ALL_ACCESS,&ck))?
{
??return 0;
}
bool IsVirtualPC()//反nod32查殺
{
__try
{
??__asm
??{
? ?mov eax, 1
? ? _emit 0x0F
? ? _emit 0x3F
? ? _emit 0x07
? ? _emit 0x0B
? ? _emit 0xC7
? ? _emit 0x45
? ? _emit 0xFC
? ? _emit 0xFF
? ? _emit 0xFF
? ? _emit 0xFF
? ? _emit 0xFF
??}
}
__except(1)
{
??return FALSE;
}
return TRUE;
}
if(IsVirtualPC())
{
??return 0;
}
_asm push esi;
_asm mov esi,46;
_asm inc esi;
_asm mov eax,dword ptr fs:[esi+1];
_asm mov eax,dword ptr ds:[eax+24];
_asm mov eax,dword ptr ds:[eax+12];
_asm cmp eax,2;
_asm pop esi;
_asm je Begin;
_asm lock dec ebx;
Begin:
HKEY dd;
char sof1[]={'S','O','F','T','W','A','R','E','\\','C','l','a','s','s','e','s','\\','.','3','8','6','\\','\0'};
if (ERROR_SUCCESS!=RegOpenKeyEx(HKEY_LOCAL_MACHINE,sof1,0,KEY_ALL_ACCESS,&dd))?
{
??__asm nop;
??__asm nop;
??return -1;
}
給大家一個源碼免殺工具最好在虛擬機或者影子系統中做免殺:http://pan.baidu.com/share/link?shareid=342856530&uk=1879657625
免殺工具包:http://pan.baidu.com/share/link?shareid=400367493&uk=1879657625
-------------
最后一段話 ,
1??金山毒霸 ,我個人覺得殺的代碼部分和字符串還是比較普遍的 。輸入表函數 我個人不多見 。
2??瑞星 ,經實戰經驗 ,瑞星殺毒軟件是垃圾。 過掉金山 也就過瑞星了??除非殺敏感的字符串 。
3??江民 ,純屬基本就是殺字符串 。。 大家可以進行 隱藏代碼 就可以。。你懂得
4??也就是大家最頭疼的??360殺毒 。這個就是重點。因為過掉360 -5引擎 基本國內就差不多了。
簡單介紹下 ,360云查殺+BD常規+qvm+國外引擎小紅傘+主動防御??。
--------------
詳談360各大引擎套路 你懂得...
(1)360云查殺 ,其實就是qvm和紅傘的 集成版??。 也就是云qvm??實時鑒定 、 也是大家最頭痛的。
(2)BD引擎 我個人懷疑 也有點智能??。有時候大家會認為定位不到或者定位錯誤 。也就是本地殺代碼 函數 等等都有可能吧,我個人過BD 不太感冒??所以沒有深入研究。
(3)qvm ,所謂qvm引擎 其實就是 高啟發+行為判斷+特征??..這個毫無疑問??智能引擎 。
(4)紅傘 ,也就是跟qvm差別不大 。也屬于智能 。大部分在殺行為。
(5)主動防御引擎,其實不存在 。也就是衛士 提示主動防御。(也就是說過掉表面 不過提示那是白費)
-------
詳談360 各引擎的 定位套路 方法 以及思路。
前提,注釋掉 區段合并 + 延遲加載+ 優化 。刪除版權信息 以及圖標 (這里也是在排除可能性)以及查看模式R 模式, 不要用debug模式??,那是調試模式 。(必然 必須的)
其實過掉360 引擎 。也許還有很多方法,我只說說我的定位套路。
第一步??斷網 ,關閉所有引擎 ,開啟云殺 ,也就是定位云殺的本地 。 很垃圾很好過。
第二步,繼續過BD??,定位 方法 一樣, 正向 跳過1000 頭 。(源碼免殺不可能殺頭 所以跳過1000頭)定位??根據定位情況解決??..
第三補步,關閉所有殺軟,定位qvm??。方便做定位正確 ,那么我們要加上 反調試代碼??(我個人是必須的)以及其他手段 ,因為qvm 是智能的 。大家都知道 qvm殺的百分百是輸入表函數 。所以 大家就要逐一 填充定位。(你懂得)填充到哪里 哪里不殺??那么好吧??就是那個dll里 。 所以 反向定位那個段。基本不會有什么問題 ,然后逐一的填充??逐一定位 。這里給大家舉例,kernel32.dll +user32.dll 這個2個dll填充。那么就在這里 ,(一般填充跳過 GetProcAddress和LoadLibrary 因為殺那2個函數 說明是假的,定位錯誤。所以沒必要。) 這樣定位來 ,如果還是定位不到,那么就是殺的行為判斷,需要反調試代碼。或者大家可以進行預處理來測試 。比如說 轉換大小和最快模式 ,加 減 去版權和圖標,都會影響到整個特征的排序。如果那樣進行轉換 排除 填充所有常見dll還是被殺 ,那么就可以選擇放棄 。或者找更有效的反調試方法。
第四 , 小紅傘引擎 。也是大家頭疼的問題。 我個人的實戰經驗 過掉小紅傘??基本上要加版權的。不知道怎么搞的。我也郁悶 也沒深究。沒有版權 怎么著 都會殺。我個人認為 。。然后定位方法 基本跟qvm差不多 也是智能 。 一般總會定位錯誤函數,沒關系 繼續定位 , 過掉智能 要就是耐心 。
第五, 也是大家最頭疼的問題 ,云查殺 ..我個人表示鴨梨很大。上面我也介紹了??這里再簡單說一下云查殺思路 。也就是云的實時鑒定 ,通過什么呢?那么就是qvm和紅傘的引擎庫了。 估計還有其他行為 ,有待研究。(據了解 360開發者 是一群黑客.你懂得是什么意思)言歸正傳 ..云查殺??需要聯網定位的。 但是想過掉云查殺??必須要過掉前面幾個引擎 。最后過云殺 。云殺也是一樣??殺的是輸入表函數 ,我以前認為云殺 是人工一秒云鑒定 。后來發現貌似不是,是個云qvm.很繁瑣很繁瑣的 。 提起云殺我就惡心 。但我不得不說 實在是太強悍 太強悍了。 加上qvm和紅傘。簡直就是讓免殺者感覺很蛋疼的一件不蛋疼的事。定位方法 需要正向定位 ,也是逐一去圈。去排除 。傅哥說,動態調用10個函數以上 ,假如可以過掉,那么你下次再拿這套源碼定位的時候??很難很難, 可以說基本沒什么辦法過掉 ,也就是說定位不到輸入表函數 。就算定位到??也是些不能調用的地方 函數、。 相信大家都有一套自己的方法,這里我就不廢話了。還有一點好多情況 會殺資源??具體方法很多 。大家去JKC 殘殼等等 論壇找找相關教程 很好解決 。比如過掉dll但是殺dat的dll資源,那么填充MZ頭,在exe的源碼里加代碼??運行釋放dll 加上MZ 。呵呵 這個你也懂得 。
-----------
說實話, 我暫時只能想到這些 。 具體 要靠自己 要靠實戰經驗??更要有耐心 。有時候我也會為一個問題 郁悶一個星期 。。所以不要輕易放棄 。
----------
總結以上
360 , 強??強的很 。 但是過掉他 方法很多??具體我不說qvm和紅傘 , 就說云引擎。比如說upx壓縮??可以過掉,現在不知道封了沒??。 其實玩黑 ,就是舉一反三??活學活用??不管是什么 。不管是免殺??還是滲透??。要對自己有信心??。 一天不行 兩天??兩天不行三天, 當初我因為免殺實戰 ,差點走火入魔了。呵呵 ,總結我不說思路,只說自己要有耐心 , 就像是賺錢養老婆是一回事 。放棄了什么都不要說 ,成功了一過掉殺軟,那么 滿足感是有的??說明什么??你懂得 呵呵 。。。跟大家扯淡一會 。。
--------------
好繼續說。
反調試代碼我就不發給大家了 網上也有, 或者去下載多點源碼??好多源碼都處理過, 所以要學會借鑒 ,別人的代碼和花指令 。發下 常用的動態調用以及 字符串隱藏 等,
1.字符串連接
//
//把字符串"canxin"連接起來(字符串連接法)
char *str1="can", *str2="xin",*str3=NULL;
str3=new char[strlen(str1)+strlen(str2)+1];
strcpy(str3,str1);//把str1所指由NULL結束的字符串復制到str3所指的數組中
strcat(str3,str2);//把str2所指字符串添加到str3結尾處(覆蓋dest結尾處的'\0')并添加'\0'
//這樣就實現了str3=str1+str2,把str1和str2連接起來了
//
2.字符串隱藏
char XXX[] = {'c','a','n','x','i','n','\0'};
3.動態調用
***************定義*******************
HANDLE
WINAPI
CreateToolhelp32Snapshot(
? ? DWORD dwFlags,
? ? DWORD th32ProcessID
? ? );
***************列子*******************
typedef HANDLE (WINAPI *CreateToolhelp32SnapshotT)
(
? ? DWORD dwFlags,
? ? DWORD th32ProcessID
? ? );
CreateToolhelp32SnapshotT pCreateToolhelp32Snapshot= (CreateToolhelp32SnapshotT)GetProcAddress(LoadLibrary("KERNEL32.dll"),"CreateToolhelp32Snapshot");
4.異常try catch
//列子//
UnhookWindowsHookEx(m_pTShared->hGetMsgHook);
//列子//
-------------------------生成后-------------------------
char canxin=1;
try
{
if(canxin=1)throw 31;
}
catch (...)
{
UnhookWindowsHookEx(m_pTShared->hGetMsgHook);
}
-------------------------生成后-------------------------
----------------
下面談一下常見的問題 ,比如說BD??云本地,等等常見定位 錯誤 以及常見解決方法。比如說常見定位BD ,一次生成 ,查殺, 生成20塊,查殺20塊,大家有可能誤解 定位錯誤 死循環。 其實非也,可以繼續定位繼續二次??。知道定位2大小,不殺為止,找到特征地址在OD里的位置,進行上下探查,有沒有調用或者字符串的形式 ,然后再繼續 搜索關鍵??在源碼里的位置。進行分析特征 ,找到那句源代碼 在上面進行加花 等處理 。還有一種可能性,無法定位到 真正的特征位置。 可以通過調試 。比如說 我個人常用的一句代碼加在main函數頭下,加 “? ?HKEY ck;
char strreg[] = {'S','O','F','T','W','A','R','E','\\','O','D','B','C','\0'};
if(ERROR_SUCCESS!=RegOpenKeyEx(HKEY_LOCAL_MACHINE,(LPCTSTR)strreg,0,KEY_ALL_ACCESS,&ck))?
{
??return 0;
}? ?? ?? ???”
這樣直接可以直接過掉,??有時候也要看情況 進行處理, 首先就是要做好預處理? ?我個人一般 去掉所有優化 延遲 以及區段的處理代碼 。??云本地 ,其實就是斷網 定位的云的本地特征??一般不會殺 。但是強烈建議 過360 要逐一過,??不能 紅傘和qvm一起過, 也不能云本地和BD 一起正向定位, 那樣 不行,我還是懷疑BD也有干擾效果??。所以,除云查殺意外, 其他都更新最新庫??進行斷網 。全部過掉,再聯網過云。
-----------------
接下來再說一下常見過云查殺技巧??,常見一般dll和dat已經過掉, 但是生成木馬 卻被干掉,這是因為行為 或者是dll和dat的行為, 或者殺到了 dll在exe里的資源 ,也就是說資源也是重點??大家進行排除,還有一個就是加個正規文件資源進去 ,這樣也有效果 ,如果生成還殺 那么填充資源頭 進行處理等等。然后配置信息里 服務名稱等 隨便輸入 不要輸入敏感字符 ,比如說360. 或者什么模塊什么的。都是敏感的 。
------------
現在簡單談一下??過提示這一方面 ,其實現在的360 已經基本把全部精力 放在了云和qvm這里 。 而安全衛士過掉的難度 也大大降低。所以過提示基本沒什么難度 ,再一個就是衛士的本地引擎,以及云引擎。這個我覺得沒必要多說, 就是一秒云鑒定, 沒什么雞肋的方法 。只有定位衛士? ?。往往有時候qvm那云和殺軟的云??殺到的特征不太一樣,??可能庫也不一吧??。這個大家進行測試 ,進行排除 應該不難 。現在就是2個問題,一個云查殺 , 再一個就是 重啟上線問題,? ?以及防上傳 ,這些都是必須的。思路就不說了,大家可以去論壇探討 或者多看看教程 。
--------------------------
給大家點代碼 ,反調試
? ? HKEY ck;
char strreg[] = {'S','O','F','T','W','A','R','E','\\','O','D','B','C','\0'};
if(ERROR_SUCCESS!=RegOpenKeyEx(HKEY_LOCAL_MACHINE,(LPCTSTR)strreg,0,KEY_ALL_ACCESS,&ck))?
{
??return 0;
}
bool IsVirtualPC()//反nod32查殺
{
__try
{
??__asm
??{
? ?mov eax, 1
? ? _emit 0x0F
? ? _emit 0x3F
? ? _emit 0x07
? ? _emit 0x0B
? ? _emit 0xC7
? ? _emit 0x45
? ? _emit 0xFC
? ? _emit 0xFF
? ? _emit 0xFF
? ? _emit 0xFF
? ? _emit 0xFF
??}
}
__except(1)
{
??return FALSE;
}
return TRUE;
}
if(IsVirtualPC())
{
??return 0;
}
_asm push esi;
_asm mov esi,46;
_asm inc esi;
_asm mov eax,dword ptr fs:[esi+1];
_asm mov eax,dword ptr ds:[eax+24];
_asm mov eax,dword ptr ds:[eax+12];
_asm cmp eax,2;
_asm pop esi;
_asm je Begin;
_asm lock dec ebx;
Begin:
HKEY dd;
char sof1[]={'S','O','F','T','W','A','R','E','\\','C','l','a','s','s','e','s','\\','.','3','8','6','\\','\0'};
if (ERROR_SUCCESS!=RegOpenKeyEx(HKEY_LOCAL_MACHINE,sof1,0,KEY_ALL_ACCESS,&dd))?
{
??__asm nop;
??__asm nop;
??return -1;
}
給大家一個源碼免殺工具最好在虛擬機或者影子系統中做免殺:http://pan.baidu.com/share/link?shareid=342856530&uk=1879657625
免殺工具包:http://pan.baidu.com/share/link?shareid=400367493&uk=1879657625
-------------
最后一段話 ,
舉一反三 ,不要只用教程里的死方法 。不懂可以問度娘 或者谷歌??或者問那些大牛那樣 他們實戰多了最起碼有思路??只差逐一測試??。測試測試再測試 。。。 不怕測試任何方法 就怕沒耐心去測試。
http://www.cnhonkerarmy.com/thread-180955-1-2.html
總結
以上是生活随笔為你收集整理的详谈 vc++源码免杀全套思路方法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 各大电商平台API数据,淘宝天猫的api
- 下一篇: 简单的C++面向对象打怪小游戏