El problema de la paloma gris
Consideramos toda el área de la marca negra como un código troyano sin modificar (Figura 1), la dividimos en dos mitades, llenamos la mitad con nop (Figura 2) y luego Mata la memoria con Rising. Si se elimina, significa que el código de característica está en la mitad de nuestro nop. Si no se elimina, significa que solo tenemos el código de característica en la mitad de nuestro nop.
La situación que se muestra en la Figura 2 es que falta la mitad de la firma sin nop, y luego seleccionamos la mitad que contiene la firma, continuamos llenando la mitad con nop y luego la eliminamos (Figura 3) (Figura 4). De esta manera, nuestra gama exclusiva será cada vez más pequeña.
Se estima que todo el proceso solo tomará aproximadamente 1 hora para los principiantes. El método es sencillo, fácil de entender y tiene buenos resultados.
2. Dos posicionamientos laminados revestidos de cobre
De hecho, los principios son similares: ambos encuentran la firma y luego evitan matar. Debido a que el proceso es tan complejo... es difícil expresarlo con palabras. Los amigos que lo necesiten pueden enviarme mensajes privados. Tengo tutoriales de voz relevantes allí.
En tercer lugar, agregue conchas y flores
Actualmente, el software para agregar conchas y flores ya está floreciendo, pero después de agregar una concha o una flor, puede darle al servidor de palomas una amplia espectro El efecto anti-muerte es bueno, pero siempre siento que no es tan bueno como los dos presentados anteriormente. Puedes saberlo tú mismo. Me gustaría añadir que sólo las flores y las conchas son las mejores. De lo contrario, podrían matarlo fácilmente. Sabrás a qué me refiero después de hacerlo.
Personalmente, creo que el método de “agregar secciones, modificar puntos de entrada y cifrar puntos de entrada” tiene un efecto similar a este, por lo que no haré otras clasificaciones.
Cuatro, añade uno al punto de entrada.
Este es el método más temprano y efectivo que he encontrado. Ahora parece que el efecto no es muy bueno, pero sigue siendo un método.
Debido a limitaciones de tiempo, aquí solo se mencionan estos métodos.
Sin embargo, me gustaría agregar un punto, que también es la posición más crítica en esta posición:
Hay muchas formas de evitar matar, y las cuatro que mencioné aquí son lo más básico. De hecho, se puede utilizar una combinación de métodos para evitar matar animales.
Simplemente puedes calcular C44 C43 C42 c 41 = 1 4 6 4 = 15 mediante permutación y combinación.
En otras palabras, el método que tengo aquí puede evolucionar hacia un método de 15 evitaciones. Debe haber métodos que no he mencionado y no conozco, pero todos se usan juntos... Vaya... ¡sin matar, actualizaciones ilimitadas!
Mira mi plan: hay cinco archivos que deben procesarse, a saber
→HOOK.dll④
Setup.exe→main dll
① ② ③ → KEY.dll⑤
-
Déjame decirte cómo manejo estos archivos por separado:
H_Client.exe usa Trojan Horse Asesino terminal controlado. rar, puede evitar que lo eliminen y especifique una contraseña para evitar que otros eliminen el caballo de Troya.
Apropiación
HOOK.dll y KEY.dll son de tamaño pequeño y son convenientes y prácticos para empaquetar con Morphine2.7
MAINDLL supera los 800 kb. Si eres vago, usa Morphine2.7 para eliminar el shell y evitar matar. El servidor tendrá más de 900 kb.
Así que uso la Osa Mayor. Para un archivo ejecutable con mejor efecto de compresión, primero agregue un shell y luego agregue instrucciones florales, está bien.
Setup.exe es fácil de manejar y de tamaño pequeño. Tenemos muchas opciones y podemos agregar cartuchos y cartuchos con Morphine2.7.
Es bueno usar la Osa Mayor. El exe va primero al shell y luego le agrega un comando elegante para evitar que se cocine demasiado. Pero ayer el hermano Qiang me dio una buena concha.
Primero probaré el efecto, ¡jaja! ~ Shell del controlador F.S.T. exe debuta.
-
Comencemos exportando los tres dlls en Setup.exe.
MAINDLL se exporta y se denomina 1.dll
También se exportan dos pequeños archivos DLL, a saber, key.dll y hook.dll.
Usemos morph Morphine2.7 para shell HOOK.dll y KEY.dll. El shell está completo y viene con software antivirus.
Mátalo y mira qué pasa. Atención a todos, mi software antivirus es genuino y tiene la base de datos de virus más reciente, jaja.
Intenta usar kv primero, está bien. Después de levantarse, Jinshan K cayó. Recuerdo que ayer no lo maté.
Pero está bien. Sólo tuvimos que darle una orden más a la flor para evitar la muerte, y Kabbah pasó.
Parece que son tres cuartas partes, ¡jaja! ~
Bien, importaremos dos archivos DLL pequeños a MAINDLL.dll y les daremos inmunidad. Yo usaría la Osa Mayor. Primero use un archivo ejecutable con mejor efecto de compresión para descomprimirlo, luego agréguele un comando de flor, está bien.
Veamos si podemos acabar con él ahora. Después de empacar mataremos a 2, pero no a 2. Eso es divertido. kv y Kaba matarán, pero Rising y Jinshan no.
El software antivirus realmente tiene sus pros y sus contras. Comience a llenar el MAINDLL.dll descascarado.
Ah, sí. También quiero mostrarte cómo usar el comando universal de agregar, así que ven a verme. Necesitamos uno aquí.
Zeroadd.exe, una herramienta para agregar secciones transversales, hao|sha es el nombre de la sección transversal definida por mí y 100 es el tamaño de la sección transversal.
Bien, agregado exitosamente. vamos a ver. También hay una sección adicional hao|sha2. Detengámonos aquí y escribamos las instrucciones de las flores más tarde
.
Descripción de la flor:
VC 5.0
Push EBP
MOV·EBP, especialmente
Push - 1
Presione 515448
Presione 6021A8
MOV·EAX, DWORD PTR FS: [0]
Presione EAX
Puntero de palabra doble MOV FS: [0], ESP
Agregar ESP, -6C
Empujar EBX
Empujar ESI
Push EDI
jmp 00408C0F
Dirección de entrada 00950647
Busque la dirección de nuestro Hao|sha2 nuevamente, haga clic en M, la dirección de Hao|sha2 es 009b6000, Simplemente escribimos las instrucciones de la flor en 009B6030.
009B6030 nueva dirección de entrada
A continuación, cambie 009B6030 por la nueva dirección de entrada.
Original 000E0647 base 00400000
Ahora necesitamos descubrir cómo escribir esta nueva entrada sin escribir 16.
00950647-0040000-000e 0647 = 470000 la diferencia de precio que queremos.
009 b 6030-00400000-470000 = 146030 Siempre lo he calculado así y no lo sé.
La ciencia no es, jaja, esto de todos modos no se enseña. Probar. No, la dirección parece ser correcta
La descripción de la flor está mal escrita. Comprobemos si estoy mareado. Escribe un empujón menos ebp y vuelve.
Microsoft Visual C, está bien, la modificación fue exitosa, lo eliminaré.
Jaja, Kaba morirá después de las tres y puedes evitar matarlo sin agregar algunos comandos.
No perdimos el tiempo. Adelante, ejecutor. Primero lleve MAINDLL.dll a Setup.exe y luego evite la muerte. Éste tiene tres conchas.