小议“非法模块”与“第三方检测”的那些事儿(3)-举个栗子~
程序员文章站
2022-03-19 11:14:56
(2)(1)上面谈了很多原理层次的东西,很多人不懂,所以补充一篇例子
先举一个关于特征码的例子:
举例是最常见的一个东西 易语言用的超级模块。
基本上这个东西都是死于作者在里面加了这么一...
(2)(1)上面谈了很多原理层次的东西,很多人不懂,所以补充一篇例子
先举一个关于特征码的例子:
举例是最常见的一个东西 易语言用的超级模块。
基本上这个东西都是死于作者在里面加了这么一大段废话。
处理方式:将这里一大段的文字清0~
扩展:
其他字符串的处理:字符串全部使用其他的和谐编码方法存储,不要明文出现。
接着举个关于模块名称与文件HASH的例子:
举例 易语言非独立编译的DLL加载的那几个模块
处理方式:独立编译并加壳修改文件名
扩展:
将模块加壳,或者动态修改文件的最后一个节的大小写入随机垃圾数据,或者每次加载前都修改OEP的代码(就是改OEP到添加的节或者最后节扩大的地方然后junkcode一堆,再jmp回去而已)。
接着举个关于模块特征之pdb路径
举例最新的Pchunter32被检测
处理方式:帮linxer大侠把pdb路径抹除~~
扩展:
通过合理方式禁止对关键进程的文件的访问(...)。
最后举个例子
举例:验证码处理模块
某验证码模块导出函数SendFileEx 参数格式...
于是检测的特征是谁导出谁被检测。
处理方式:修改导出名称或者以无名称的符号导出形态~~
扩展:除了导出之外,导入和资源表也可以是特征...
本篇完。
上一篇: 密码破解之Esxi重置root密码