文章作者:乱刀
信息来源:幻影
关于让黑防鸽子插进自定义进程躲避冰刃
准备工具 1 C32ASM 或者其他反汇编工具 2 UE 或者其他16进制编辑工具
下面开工, 首先ue打开cache目录下的Cserver.dat 搜索Iexplore.exe 一共会找到2处,其中上面那处是要插入程序的路径, 下面那处是进程名
比如我们要选择svchost.exe 作为插入进程, 直接把下面改为 svchost.exe
http://remoteip.3322.org/images/{7715A10E-8845-40FA-A3B4-51F31911A33F}.BMP" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0>
改完后的样子
http://remoteip.3322.org/images/{B269A657-B86D-4CFA-A0AB-EE25D09E192A}.BMP" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0>
下面来看上面那处
http://remoteip.3322.org/images/{DDE4EE70-915B-406C-84F3-F66C77652799}.BMP" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0>
这里注意看 是:\Program Files\Internet Explorer\IEXPLORE.EXE 可以判断出 他是先由GetWindowsDirectory 获得了系统盘符 然后再把后面的ASCII 字符压入到后面。
把:\Program Files\Internet Explorer\IEXPLORE.EXE改为svchost.exe 从冒号那里就开始改 ,后面多出的字符用00填充
改完后保存,用C32ASM载入你改好的
然后选择汇编模式 按cirtl+G跳到0049B78C
你会看到
0049B78C: E8 F387F6FF CALL 00403F84
0049B791: 8B55 F4 MOV EDX, [DWORD SS:EBP-C]
0049B794: 8D45 FC LEA EAX, [DWORD SS:EBP-4]
0049B797: B9 74C44900 MOV ECX, 49C474
这几句。 其中
0049B78C: E8 F387F6FF CALL 00403F84 这句是呼叫得到系统盘符的函数, 我们把这整句nop掉
0049B797: B9 74C44900 MOV ECX, 49C474 这个关联的就是:\programfiles了不做修改
保存 就ok了
如果实在不会改。 那你就用ue打开他,
http://remoteip.3322.org/images/{69D6262E-8345-4702-A0AA-2AAA5A13FC97}.BMP" onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0>
找到图中这个位置把 红色的地方改为90
关于如果太长不够地方写怎么办
http://remoteip.3322.org/images/{FF216F20-5BC3-40A2-B1F5-20DF292ACAD3}.BMP" width=691 onload="java script:if(this.width>screen.width-333)this.width=screen.width-333" border=0>
图中所给的 是调用那个:\program files 的地址, 因为黑防鸽子在最后留的空间比较小,我们可以先加一个区段。 这样空白处就比较大了。 然后把:\program ....这句写在空白处。
然后看清:这个号的地址, 把move后面的那个地址写成他的, 这样调用地址就被换了
编辑一下,有朋友反映图片链接失效,看了一下,发现是原来链接的图片也失效了。这个修改很简单,个人没有测试,感觉不大好用。
传上一个带图片的doc文件。因为看这个文章的人估计不多。不在一一上传图片。
