众所周知pcshare的驱动级组件pchide.sys一直以难定位,难修改而闻名
经过两周的努力,本人终于将这一难题攻克!
技术信息可以透露一些,首先选择的对象是卡巴
卡巴采用了一种技术使我们的CCL定位十分的困难,我称之为复合特征码,应该是一种新产物
网上尚不能找到相似的教程,且针对SYS组件,还是一个分主特征和辅特征的结构
网上普遍定位了三处至四处,也因改后蓝屏问题不断
但是如果了解汇编的流程及程序运行的原理,还是可以进行修改的
下面是其中两处的修改:
000003A0    00000040    000003E0//!! (1)
大小写替换法
把D:\PcShare改为D:\pCsHaRE\
PEEDITOR
修正测试
成功隐藏
========================================================
定位:
00000400    
00000080    00000480//!!(2-1)    
000004C0    00000020    000004E0//!!(2-2)
原码:
000104C0:  
85FF                      
TEST EDI, EDI
000104C2:  74
7B                      
JE SHORT 0001053F
000104C4:  
56                        
PUSH ESI
000104C5:  
57                        
PUSH EDI
000104C6:  E8
CFFFFFFF                
CALL 0001049A
000104CB:  68
44646B20                
PUSH 206B6444//!!二号特征码改为jmp 000122DE
000104D0:  68
08080000                
PUSH 808
000104D5:  6A
01                      
PUSH 1
000104D7:  FF15
18030100              
CALL NEAR [DWORD DS:10318]
000104DD:  
8BF0                      
MOV ESI, EAX
000104DF:  8D45
FC                    
LEA EAX, [DWORD SS:EBP-4]
000104E2:  
50                        
PUSH EAX
000104E3:  68
00040000                
PUSH 400
000104E8:  
56                        
PUSH ESI
000104E9:  
57                        
PUSH EDI
000104EA:  66:C746 02
0008            MOV [WORD
DS:ESI+2], 800
000104F0:  FF15
14030100              
CALL NEAR [DWORD DS:10314]
增加代码:
000122DE:  68
44646B20                
PUSH    206B6444
000122E3:  E9
E8E1FFFF                
JMP    
000104D0
================================================
很遗憾还不能发布,发布就会被杀,这个道理谁都知道
但事实就是事实,我的朋友和管理员们都试过了,具备隐藏功能,13号的卡巴不叫唤
有些人会失望,有些人会骂吧.....
CCL定位,C32ASM修改,PEDITOR做checksum修正
手工实现是完全可行的
告诫那些盲目相信软件免杀,加壳免杀的朋友
手工才是根本的方法和长久之计
方法会在华夏的免杀班里具体讲解(广告嫌疑)
成品会提供给作者,给"正版"VIP[URL=http://vip.77169.com]会员[/URL]使用
希望可以为国产软件做一点贡献
感谢CCTV,MTV,PSTV,华夏,及各大网站
感谢我的学生candy的鼓励,把好的信息及时发送给我,没有你的支持和帮助,我是不可能坚持到现在的
感谢冰雨提供的checksum,从根本上解决了改SYS文件的问题
感谢我的女朋友牺牲了和她一起出去玩的时间
仍在努力的朋友,加油!!