[转载]关于让黑防鸽子插进自定义进程躲避冰刃
<P>文章作者:乱刀<BR>信息来源:幻影</P><P><STRONG>关于让黑防鸽子插进自定义进程躲避冰刃</STRONG> </P>
<P><FONT face="verdana, tahoma, helvetica" size=2>准备工具 1 C32ASM 或者其他反汇编工具 2 <FONT color=red>UE</FONT> 或者其他16进制编辑工具<BR><BR><BR>下面开工, 首先ue打开cache目录下的Cserver.dat 搜索Iexplore.exe 一共会找到2处,其中上面那处是要插入程序的路径, 下面那处是进程名<BR><BR><BR>比如我们要选择svchost.exe 作为插入进程, 直接把下面改为 svchost.exe<BR><IMG alt="" src="[url]http://remoteip.3322.org/images/[/url]{7715A10E-8845-40FA-A3B4-51F31911A33F}.BMP" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> <BR>改完后的样子<BR><IMG alt="" src="[url]http://remoteip.3322.org/images/[/url]{B269A657-B86D-4CFA-A0AB-EE25D09E192A}.BMP" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> <BR><BR>下面来看上面那处 <BR><IMG alt="" src="[url]http://remoteip.3322.org/images/[/url]{DDE4EE70-915B-406C-84F3-F66C77652799}.BMP" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> <BR><BR>这里注意看 是:\Program <FONT color=red>Files\Internet</FONT> Explorer\IEXPLORE.EXE 可以判断出 他是先由GetWindowsDirectory 获得了系统盘符 然后再把后面的ASCII 字符压入到后面。<BR><BR>把:\Program <FONT color=red>Files\Internet</FONT> Explorer\IEXPLORE.EXE改为svchost.exe 从冒号那里就开始改 ,后面多出的字符用00填充<BR><BR>改完后保存,用C32ASM载入你改好的<BR><BR>然后选择汇编模式 按cirtl+G跳到0049B78C<BR><BR>你会看到<BR>0049B78C: E8 F387F6FF <FONT color=red>CALL</FONT> 00403F84<BR>0049B791: 8B55 F4 <FONT color=red>MOV</FONT> <FONT color=red>EDX</FONT>, [DWORD SS:EBP-C]<BR>0049B794: 8D45 <FONT color=red>FC</FONT> <FONT color=red>LEA</FONT> <FONT color=red>EAX</FONT>, [DWORD SS:EBP-4]<BR>0049B797: B9 74C44900 <FONT color=red>MOV</FONT> <FONT color=red>ECX</FONT>, 49C474<BR><BR>这几句。 其中<BR>0049B78C: E8 F387F6FF <FONT color=red>CALL</FONT> 00403F84 这句是呼叫得到系统盘符的函数, 我们把这整句nop掉<BR><BR>0049B797: B9 74C44900 <FONT color=red>MOV</FONT> <FONT color=red>ECX</FONT>, 49C474 这个关联的就是:\programfiles了不做修改<BR><BR><BR><BR>保存 就ok了<BR><BR><BR><BR>如果实在不会改。 那你就用ue打开他,<BR><IMG alt="" src="[url]http://remoteip.3322.org/images/[/url]{69D6262E-8345-4702-A0AA-2AAA5A13FC97}.BMP" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> <BR><BR>找到图中这个位置把 红色的地方改为90<BR><BR><BR><BR>关于如果太长不够地方写怎么办 <BR><IMG alt="" src="[url]http://remoteip.3322.org/images/[/url]{FF216F20-5BC3-40A2-B1F5-20DF292ACAD3}.BMP" width=691 onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0> <BR><BR>图中所给的 是调用那个:\program <FONT color=red>files</FONT> 的地址, 因为黑防鸽子在最后留的空间比较小,我们可以先加一个区段。 这样空白处就比较大了。 然后把:\program ....这句写在空白处。 <BR>然后看清:这个号的地址, 把move后面的那个地址写成他的, 这样调用地址就被换了<BR></FONT></P>
<P><FONT size=2>编辑一下,有朋友反映图片链接失效,看了一下,发现是原来链接的图片也失效了。这个修改很简单,个人没有测试,感觉不大好用。<BR>传上一个带图片的doc文件。因为看这个文章的人估计不多。不在一一上传图片。</FONT></P>
页:
[1]