最终定位结果如下:
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\dd\桌面\Server.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000A15DE_00000002
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[----------------M---------------------------------]
用OD载入后特征码在下面的红色一行:
004A21DA BD db BD
004A21DB . B1 D3 mov cl, 0D3
004A21DD . C3 retn
004A21DE BB db BB
004A21DF A7 db A7
004A21E0 A3 db A3
004A21E1 A1 db A1
004A21E2 00 db 00
004A21E3 00 db 00
004A21E4 00 db 00
转换成反汇编代码如下:
004A21DA BD B1D3C3BB mov ebp, BBC3D3B1
004A21DF A7 cmps dword ptr [esi], dword ptr es:[e>
004A21E0 A3 A1000000 mov dword ptr [A1], eax
只要修改一下地址004A21DA就可以了,由于向下没有数据,所以整个向下移动一个地址如下
004A21DA 00BD B1D3C3BB add byte ptr [ebp+BBC3D3B1], bh
004A21E0 A7 cmps dword ptr [esi], dword ptr es:[e>
004A21E1 A3 A1000000 mov dword ptr [A1], eax
弄诺顿扫描一下,文件查杀已经躲过。(图3)
图3
我们把诺顿网络安全特警的所有选项全部打开监控,运行鸽子的服务端。并且看一下更新日期为2008-3-18
图4