这个动不了的,一动破坏了它的完整性,给它加个密吧,VM也可以试一下,
免杀这东西,一种方法行不通可以用另一种方法,别死緾着
加密代码:
004C2043 > 60 pushad
004C2044 E8 00000000 call hacksky.004C2049 下一句地址
004C2049 58 pop eax
004C204A 2D 49204C00 sub eax,hacksky.004C2049 上一句地址 ; ASCII "X-I L"
004C204F 50 push eax
004C2050 B9 F70A0000 mov ecx,0AF7 ---加密大小 (字节处以4) ; 大小有问题
004C2055 BB 00304A00 mov ebx,hacksky.004A3000 加密其实位置
004C205A 031C24 add ebx,dword ptr ss:[esp]
004C205D 8B03 mov eax,dword ptr ds:[ebx] ; 密钥随便
004C205F 35 11110000 xor eax,1111 ---密钥随便换
004C2064 8903 mov dword ptr ds:[ebx],eax
004C2066 83C3 04 add ebx,4
004C2069 ^ E2 F2 loopd short hacksky.004C205D 跳到密钥
004C206B 58 pop eax
004C206C 61 popad
004C206D ^ EB 9A jmp short hacksky.004C2009 跳到入口点
用的时候多变一下花样,要不然可能被杀。
反调试代码:
lea ebp,dword ptr ds:[ecx+eax]
mov eax,dword ptr ss:[ebp-70]
je sys.下一句的地址
test eax,eax
je 12212121 可以乱写
call 尽量不要jmp 也就是跑回原入口点
试一下吧,做多了就有经验了