爱华网
生成客户所必须的4个文件,也是免杀需要处理的4个文件.
PcInit.exe 生成客户所必须的文件,生成后的EXE,肉鸡执行的EXE也就是这个文件
PcClient.dll 肉鸡执行生成的客户释放的DLL
PcKey.dll 加入键盘记录功能后,肉鸡执行生成的客户释放的DLL,对应键盘记录功能,一般被杀后不影响其他功能.
PcHide.sys 肉鸡自启动隐藏通信的文件,肉鸡执行生成的客户释放的SYS
#2 免杀必须处理的文件
生成客户所必须的4个文件,也是免杀需要处理的4个文件.
PcInit.exe 生成客户所必须的文件,生成后的EXE,肉鸡执行的EXE也就是这个文件
PcClient.dll 肉鸡执行生成的客户释放的DLL
PcKey.dll 加入键盘记录功能后,肉鸡执行生成的客户释放的DLL,对应键盘记录功能,一般被杀后不影响其他功能.
PcHide.sys 肉鸡自启动隐藏通信的文件,肉鸡执行生成的客户释放的SYS
#3 PcInit.exe处理方法概叙
1.加壳加花.
2.加壳后,用VMP加密入口段,模糊入口点.
3.直接用VMP加密入口段,模糊入口点,再加压缩壳,不能用加密壳.
4.修改特征段内指令,精确定位特征段内的指令,单条指令或者连续的指令大于等于5字节指令即可长跳转.
#4 dll处理方法概叙
1.用VMP加密入口段,模糊入口点.
2.修改特征段内指令,精确定位特征段内的指令,单条指令或者连续的指令大于等于5字节指令即可长跳转.
3.用伯乐填00特征字符串后运行正常的样本,再用PE编辑工具(看雪学院很多)修正校验重建输入表.
4.加特殊的壳如007
5.修改特征段内指令,精确定位特征段内的指令,单条指令或者连续的指令大于等于5字节指令即可长跳转.
#5 SYS处理方法dll处理方法概叙
1.直接16进制编辑修改特征字符串后,修正校验.
2.加区加大PE的空隙,修正校验后,修改特征段内指令,精确定位特征段内的指令,单条指令或者连续的指令大于等于5字节指令即可长跳转.
3.VMP加密特征段指令或者入口.
#6 总结
每个版本的PcShare的特征有不同,官方在持续更新VIP版本,新版一般都不被查杀,直到出现新的特征被查杀,处理方法当然靠自己,没有什么秘密和特殊的地方,也没有什么值得炫耀的地方,方法有了,修改就靠自己动手.
