我们来分别定位一下,
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\dd\桌面\火狐PCSHARE0926\PCSHARE0926\update\PcInit.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 00001E63_00000002
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------------------------M------------]
00404063
00404060 2E: prefix cs:
00404061 64:6C ins byte ptr es:[edi], dx
00404063 0000 add byte ptr [eax], al
00404065 6C ins byte ptr es:[edi], dx
00404066 0000 add byte ptr [eax], al
00404068 5C pop esp
00404069 0000 add byte ptr [eax], al
红色部分是修改后的,就是上下两行调换。
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\dd\桌面\火狐PCSHARE0926\PCSHARE0926\update\PcMain.dll
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 00010334_00000003 10012134
[特征] 00010466_00000004 10012266
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------MM-----------------------------]
这个DLL文件的修改直接加了一个壳,修改了下壳头。就过了,也很简单。
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\dd\桌面\火狐PCSHARE0926\PCSHARE0926\update\PcHide.sys
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0000074C_00000002 0001074C
特征码分布示意图:
[--------------------------------------------------]
[-----------------------------------M--------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
这个用C32ASM修改了下反汇编代码,把AND改为XOR。
修改后保存,生成一个服务端,诺顿全开,运行时依然没有反应。
图18
