[讨论]一个在修改特征码时遇到的奇怪问题 特征, 讨论

2000gaobo

[讨论]一个在修改特征码时遇到的奇怪问题
文章作者：hunterx
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

昨天改了下随意门的特征码。先用multiCcL定位，结果：0000A519_0000A520（卡吧的），用OC转了下：1000B119_1000B120。在用OD加载木马，来到1000B119，NOP掉这一句，再测试，免杀了。后来用跳转发进行修改，发现无论如何都不能免杀。

后来用MYCLL定位，结果0000A520_0000A524，还是老方法，NOP掉1000B11C这句，发现也是免杀的。跳转法修改，发现免杀了。也能成功运行。

两句特征码是紧靠在一起的。
multiCcL定的是：1000B119
MYCCL定的是：  1000B11C  （它们之间中间只隔了2句）

实践证明先我用multiCcL定位的结果是有误的。可是NOP掉用multiCcL定位出的那句依然可以免杀，这是为什么呢？

再问下另外一个问题，今天早上起来发现我的OllyDBG在加载文件时出现“模块"KB896475"入口点超出代码范围的错误”加任何文件都一样。这样我在加载后就跳不到指定的特征码地址，总说超出范围。先我以为是OllyDBG的错误，去网上下了一个新的，错误依然。我昨晚还用的好好的啊……


帖子10 精华0 积分34 阅读权限40 性别男 在线时间5 小时 注册时间2006-8-17 最后登录2007-11-17 查看详细资料TOP 软件项目外包

幽游
荣誉会员