本版凡发广告等与修改无关的帖将做扣分或删帖处理!本版不允许有人发修改器与求修改器~!违反者删介绍不详细的帖子会发帖提醒,不改的删发假存档的删,内容不符合介绍的删发假帖如没存档者扣分,不改者删求档的必须写清楚需要的档是梦几,第几章以及各人物宠物情况,不清楚者发帖提醒,不改的删严禁挖坟,灌水,刷墙,重复回复,骂脏话等不文明行为,违反者第一次警告,第二次扣分,关牢~~-------------------------------------------------------------------------------------------by:失去
〓 修改推荐 〓
(编辑:失去)
★修改教程★
★修改视频★
〓 存档推荐 〓
(编辑:笑笑)
★梦幻群侠传1存档★
★梦幻群侠传2存档★
★梦幻群侠传3存档★ 2883 1 标题
回复/查看
最后发表 2009-12-1
by 2009-12-1
2008-2-23
2008-9-2
by 2008-9-2
2008-1-10
2007-12-29
2007-6-7
] 2007-7-4
2007-4-10
2009-5-2
by 2007-11-15
2007-11-26
by 版块主题 [
2008-11-19
2008-11-22
2008-8-16
] 2008-8-20
2009-5-4
2007-10-20
] 2008-8-11
] 2008-8-21
2008-8-12
] 2008-5-11
] 2009-1-2
] 2008-5-11
本版热门主题
今日热门主题
本版最新回复
(3473/46450)
(1200/16993)
(328/5223)
(1112/102800)
(22/2515)
(303/3719)
(1426/39539)
(27/1975)
(17/1784)
(479/13086)
活跃会员 2883 1
全部主题
1 天以来主题
2 天以来主题
1 周以来主题
1 个月以来主题
3 个月以来主题
6 个月以来主题
1 年以来主题
排序方式
回复时间
发布时间
回复数量
浏览次数
按降序排列
按升序排列 提交
有新回复
无新回复
热门主题
关闭主题
当前时区 GMT+8, 现在时间是 2011-8-5 21:42
Powered by
2001-2008
Proce ed in 0.047919 second(s), 5 queries, Gzip enabled.新飞2.1.37更新公告:8大职业技能修改! 提交
新飞2.1.37更新公告:8大职业技能修改!
邪恶的卷发猪猪
归隐人士
可爱猪
76945 帖子
4836 威望
2 多玩草
1261 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2006-8-14 当前离线
发表于 2008-12-18 16:00
新飞2.1.37更新公告:8大职业技能修改!
【综合】
1、更新了
圣诞版的新飞飞登录Launcher
,大家赶快更新看看吧~。
2、开放了
快速注册的功能
,点击登陆界面的注册按钮就会弹出快速注册窗口。
3、开放了符语涂改笔的功能,该道具现已在商城开放售卖。
4、修改了各地面BOSS刷新时的提示信息。
5、修改了PK的规则,现在从紫名变回白名时,将会清除已有的杀气值与称号。
6、调整了“赤炎之龙”施放技能时的动作。
【飞行器】
1、飞行器升级: (1)新的空战系统中,所有可以加载飞行装置的飞行器都会获得一个默认攻击技能和一个随机技能。为了配合新的空战系统,飞行店老板处添加了为第一代飞行器升级的功能。 (2)若需要升级飞行器,请将需要升级的飞行器放在背包中,前往飞行店老板处选择“升级第一代飞行器”。该功能便会为背包内的所有对应的飞行器添加默认攻击技能和一个随机技能,并根据新的规则,随机生成新的附加空中生命值(原先是固定值)。 (3)升级功能可以无限期无限次使用,但不会为已经升级了的飞行器再次升级。
2、所有新产生的飞行器将会默认获得一个基础攻击技能和一个随机技能。
3、飞行器装置的镶嵌消耗由原来的1/10/20/30/40个调整为10/15/20/25/30个。
4、修改了自动寻路的判定;使用自动寻路时,如果目标点距离自己在20米内,则直接跑过去而不会多余的做一次飞行。
【空战】
1、调整了商城中所有飞行器镶嵌装置的售卖,添加了大量新的战斗装置。
2、空中怪物现在掉落飞行战斗装置了。
3、添加了自动恢复效果,现在玩家在空中时会缓慢的回复空中生命值和空中魔法值。
4、修改了复活时的生命值与魔法值,现在在空中死亡只会影响空中生命和魔法值,地面死亡只会影响普通生命和魔法值。
【恋爱】
1、修改了恋人分手的条件,现在即使对方不在线也可以分手了。
2、在恋人界面内新增了“添加恋人”的按钮,现在直接输入心仪玩家的名字或ID就可以向对方发起求爱啦!
【王国】
1、新增了“王后”的职位,各位国王可以指定玩家成为自己的王后了。
2、扩大了“幽冥魔域”的王国领地面积。
【家族】
1、现在家族成立时所需要的200万银币将会优先从玩家的储蓄银币里扣除。
【任务与活动】
1、放羊的星星:现在玩家下线后将不会删除任务,只会删除羊宝宝。重新登录后,只要用哨子召唤出羊宝宝,就可以继续该任务了。
2、死亡笔记:每天可接30小环的限制修改为每天可接3大环。
【职业技能】
1、骑士:
灵魂力量 吟唱时间缩短到0.5秒,效果持续时间增加到900秒。
圣剑华光 冷却时间增加1秒。
坚硬磐石 增加了对怪物造成伤害时获得额外仇恨加成的效果。
牺 牲 加了比例获得当前怪物总仇恨的效果,并增加了造成固定仇恨的点数,缩短了冷却时间。
公正盾击 增加等级命中衰减,目前所有的等级命中衰减技能的衰减规则为目标玩家每高1级,技能效果命中衰减2.5%。
圣剑猛袭 缩短了冲锋1米的射程,并降低了概率造成减速的效果。
正直圣盾 技能冷却时间减少1秒。
荣耀星光 开启荣耀的状态下,增加了对怪物造成伤害时获得额外仇恨加成的效果。
2、战士:
怒斧贯穿 调整了贯穿的施放动作,使其能够更加快速的施放。
战斗怒吼 效果的持续时间增加到300秒。
单挑 增加了比例获得当前怪物总仇恨的效果,并增加了造成固定仇恨的点数,缩短了冷却时间。
怒斧冲锋 增加等级命中衰减,目前所有的等级命中衰减技能的衰减规则为目标玩家每高1级,技能效果命中衰减2.5%。
毁灭狂气 毁灭狂气的持续时间缩短到8秒。
3、祭司:
龙拳七伤 效果修改为:吟唱技能,对目标造成物理伤害同时附加额外03斗气伤害,附加七伤状态;学习等级调整。
龙拳截脉 效果修改为:瞬发技能,伤害目标同时使目标获得伤害输出降低的截脉减益;学习等级调整。
力量术 技能射程增加了15米,吟唱时间调整为0.5秒,所有等级的持续时间都增加到3600秒。
敏捷术 技能射程增加了15米,吟唱时间调整为0.5秒,所有等级的持续时间都增加到3600秒。
龙拳霸翔 连续造成伤害的次数减少1次,冷却时间增加2秒。
龙拳贯气 技能射程增加到25米。
生命之泉 调整了召唤的施放动作,使其能够更加快速的施放;灵泉的治疗范围调整到8米,增加了清除负面效果的概率。
元气感知 增加使玩家获得物理闪避提升的效果,满级可提升10%。
召唤火蛇 调整了召唤的施放动作,使其能够更加快速的施放;火蛇的攻击范围扩大到15米。
绝对领域 技能射程增加到25米,增加了使目标无法移动效果的持续时间,推离目标的距离增加了2米。
4、牧师:
圣光灼破 技能射程增加到25米。
恢复术 技能射程增加到25米,效果持续时间增加2秒。
圣光裁决 技能射程增加到25米,技能冷却时间增加到8秒。
守护术 能射程增加了15米,吟唱时间调整为0.5秒,所有等级的持续时间都增加到3600秒。
治疗术 技能射程增加到25米。
圣光大地 降低了开启圣光时使自己移动速度降低的效果。
神圣之光 技能射程增加到20米,高级复活的冷却时间不再降低。
高效术 技能射程增加了15米,吟唱时间调整为0.5秒,所有等级的持续时间都增加到3600秒。
洁净术 技能射程增加20-24米,限制了1次可清除减益效果的数量,且该技能无法被沉默了。
群疗术 群疗术的治疗半径增加到6米。
神之庇护 降低了高级庇佑抵消伤害的效果。
静默术 技能射程增加到20米,冷却时间降低了2秒。
光芒圣歌 技能射程增加到20米。
5、法师:
炎 焰星 技能射程增加到25米。
冰 寒岚 技能射程增加到25米。
魔力之源 技能射程增加了15米,吟唱时间调整为0.5秒,所有等级的持续时间都增加到3600秒。
风 逆刃 技能射程增加到20米,取消了概率击退目标的效果。
炎 地火 技能射程增加到20米。
元素之盾 效果持续时间增加到600秒,抵消伤害的点数增加50%。
冰 霜环 增加等级命中衰减,目前所有的等级命中衰减技能的衰减规则为目标玩家每高1级,技能效果命中衰减2.5%。
地 遁形 调整了施放动作,使其能够更加快速的施放;最大移动距离增加了5米。
风 龙卷 技能射程增加到20米,技能冷却时间降低了5秒。
地 化影 修正了部分特殊伤害效果能够对无敌目标造成伤害的BUG,技能冷却时间降低了5秒。
冰 霜体 造成目标减速的效果增加了5%。
雷 天惊 效果持续时间增加到120秒,攻击范围扩大到12米,吟唱调整为0.5秒,冷却时间降低到30秒。
炎 陨星 技能射程增加到25米。
6、巫师:
暗言灵念 技能射程增加到25米。
暗言毒咒 技能射程增加到25米,并提高了中毒效果造成的伤害。
暗影守护 被动提升巫师生命的效果增加了5%。
暗言衰竭 效果修改为:增益技能,使攻击自己的目标防御降低,技能冷却时间及消耗增加。
暗言波澜 技能射程增加到25米。
暗言寂灭 技能射程增加到20米。
暗言飓风 技能射程增加到20米。
移形换位 最大移动范围增加5米,冷却时间缩短5秒。
剥夺 技能射程增加到25米,并提高了中毒效果造成的伤害。
幻象恐惧 技能射程增加到25米,冷却时间缩短5秒。
虹吸海纳 吸收效果增加到原来的2倍。
螺旋烈风 攻击范围判定扩大到4米。
7、弓手:
穿杨火矢 技能射程增加到30米。
穿杨标记 技能射程增加到30米,效果持续时间增加到180秒。
穿杨冲击 效果修改为:瞬发技能,对目标造成一次性物理伤害附加远程伤害,并击退目标。
穿杨箭雨 技能射程增加到25米。
陷阱冰冻 取消了施放冰冻陷阱的动作和特效。
风身 效果持续时间增加到15秒。
云体 效果持续时间增加到15秒。
战鹰召唤 持续时间增加到900秒,冷却时间减少到30秒。
鹰眼 探测隐身单位的时间缩短。
陷阱雷爆 雷爆陷阱修改为其他玩家不可查看状态。
金蝉脱壳 修正了部分特殊伤害效果能够对无敌目标造成伤害的BUG,射程调整。
穿杨怒射 技能射程增加到30米,并降低了怒射造成伤害的效果。
8、刺客:
斗志风轮 效果修改为:被动增加刺客的物理命中。
毒击术 效果修改为:主动增益,使自己获得攻击时使目标中毒,物理防御、物理和魔法命中降低的增益效果。
轮舞绞杀 射程修改为2米。
轮舞多重 射程修改为2米。
影子术 持续时间增加到900秒。
轮舞迷失 射程修改为2米。
散失之域 效果范围覆盖增加1米。
轮舞暗杀 射程修改为2米。
【错误修正】
1、优化了飞行,略微改善了无法拾取物品和无法准确飞行到目标点的问题。
2、修正了在和糖浆蜂王机战斗死亡后复活异常的错误。
3、修正了某些情况下在和怪物战斗时伤害数值异常的错误。
4、修正了某些情况下杀死怪物后会再次进入战斗状态的错误。
5、修正了在使用槽位涂改笔修改飞行器槽位后无法再次镶嵌的错误。
6、修正了某些情况下光环类技能效果无法正确作用的错误。
7、修正了在服务器维护后,部分祈愿树丢失的错误。
8、修正了交易频道无法发送“装备/飞行器”链接信息的错误。
9、修正了使用技能攻击后经常脱离不了战斗状态的错误。
10、修正了在唤魔珠自动寻路时会不停地撞向地面的错误。
11、修正了恋人之间亲密度无法增长的错误。
12、修正了绑定的草药、蚕丝、钨石可以被摆摊出售的错误。
猪猪与源源个人勋章,不许偷走。不然格杀勿论~
风轻轻的吹动长长的发丝,我独自站在芦苇里,闻着飘来芦苇的香气,仰头望着蓝色的天空,轻叹一句……“是时候吃东西啦!”嘻嘻,猪头是最高境界!我行,我可以!
76945 帖子
4836 推荐 积分
10590 金钱
12796 威望
2 多玩草
1261 草 新人欢迎积分
2 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
90 注册时间
2006-8-14 TOP
那年、花开゛
归隐人士
我爱你、那也只是曾经
2730288 帖子
3319 威望
5 多玩草
204 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2008-7-31 当前离线
发表于 2008-12-18 16:06
我来咯..
不许丢了微笑
2730288 帖子
3319 推荐 积分
4256 金钱
66 威望
5 多玩草
204 草 新人欢迎积分
1 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
90 注册时间
2008-7-31 TOP
冷~月
3665310 帖子
294 威望
1 多玩草
148 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2008-12-5 当前离线
发表于 2008-12-18 16:23
[move]没技术[/move]
3665310 帖子
294 推荐 积分
557 金钱
652 威望
1 多玩草
148 草 新人欢迎积分
1 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
40 注册时间
2008-12-5 TOP
会飞的猪
1122777 帖子
66 威望
0 多玩草
15 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2007-12-13 当前离线
发表于 2008-12-18 16:48
下水道
1122777 帖子
66 推荐 积分
151 金钱
240 威望
0 多玩草
15 草 新人欢迎积分
1 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
30 注册时间
2007-12-13 TOP
冫子木灬
VIP资料员
to the left
3672414 帖子
235 威望
0 多玩草
501 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2008-12-6 当前离线
发表于 2008-12-18 18:44
这次更新蛮多的。。。
3672414 帖子
235 推荐 积分
398 金钱
1535 威望
0 多玩草
501 草 新人欢迎积分
1 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
100 来自
天鹅座 注册时间
2008-12-6 TOP
邪恶的卷发猪猪
归隐人士
可爱猪
76945 帖子
4836 威望
2 多玩草
1261 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2006-8-14 当前离线
发表于 2008-12-18 18:47
嗯嗯,我也觉得。
每个职业的技能都更新了。。不知是变好还是变化咧。都没细看。
猪猪与源源个人勋章,不许偷走。不然格杀勿论~
风轻轻的吹动长长的发丝,我独自站在芦苇里,闻着飘来芦苇的香气,仰头望着蓝色的天空,轻叹一句……“是时候吃东西啦!”嘻嘻,猪头是最高境界!我行,我可以!
76945 帖子
4836 推荐 积分
10590 金钱
12796 威望
2 多玩草
1261 草 新人欢迎积分
2 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
90 注册时间
2006-8-14 TOP
最快的蝌蚪
353879 帖子
1884 威望
3 多玩草
223 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2007-8-11 当前离线
发表于 2008-12-18 19:08
玩家情绪稳定
353879 帖子
1884 推荐 积分
3993 金钱
6210 威望
3 多玩草
223 草 新人欢迎积分
-1 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
60 注册时间
2007-8-11 TOP
邪恶的卷发猪猪
归隐人士
可爱猪
76945 帖子
4836 威望
2 多玩草
1261 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2006-8-14 当前离线
发表于 2008-12-18 19:35
er……现在玩家情绪很不稳定吗?
我觉得还好吧。
猪猪与源源个人勋章,不许偷走。不然格杀勿论~
风轻轻的吹动长长的发丝,我独自站在芦苇里,闻着飘来芦苇的香气,仰头望着蓝色的天空,轻叹一句……“是时候吃东西啦!”嘻嘻,猪头是最高境界!我行,我可以!
76945 帖子
4836 推荐 积分
10590 金钱
12796 威望
2 多玩草
1261 草 新人欢迎积分
2 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
90 注册时间
2006-8-14 TOP
。花、猪不死的合欢、
喂、谁和我***
1309526 帖子
988 威望
1 多玩草
59 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2008-1-10 当前离线
发表于 2008-12-18 19:45 |:H:a:p:p:y:|
变化啊变化 变的都害怕 ..
本帖最后由 ︶ㄣ虫虫. 于 2008-12-18 19:46 编辑
1309526 帖子
988 推荐 积分
1598 金钱
3633 威望
1 多玩草
59 草 新人欢迎积分
2 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
50 来自
。移花宫 注册时间
2008-1-10 TOP
天箭〖名门〗空白‖★主流‰名门 ...
不YD啊,不YD,我不YD谁YD~ ... ...
3423088 帖子
774 威望
3 多玩草
1700 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2008-11-7 当前离线
发表于 2008-12-18 19:49
这次除了这些,又多加了什么消费项目!
3423088 帖子
774 推荐 积分
1258 金钱
4071 威望
3 多玩草
1700 草 新人欢迎积分
2 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
50 来自
XE岛的CJ屋 注册时间
2008-11-7 TOP
╰╮徨丶孒┈
多玩疯人院猪猪大皇子
2813564 帖子
2946 威望
1 多玩草
506 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2008-8-12 当前离线
发表于 2008-12-18 22:41
....Shit,皇子心爱的法师被改的不chengren形
皇 子 、 从 此 卜 在 是 猪、
2813564 帖子
2946 推荐 积分
4072 金钱
3214 威望
1 多玩草
506 草 新人欢迎积分
2 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
60 来自
网2雄霸-电四天翔-聚八仙。 ... 注册时间
2008-8-12 TOP
╰╮徨丶孒┈
多玩疯人院猪猪大皇子
2813564 帖子
2946 威望
1 多玩草
506 草 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 注册时间
2008-8-12 当前离线
发表于 2008-12-18 22:41
本来那个风刃还能有时候挡下,有机会不会死,现在也没用了
皇 子 、 从 此 卜 在 是 猪、
2813564 帖子
2946 推荐 积分
4072 金钱
3214 威望
1 多玩草
506 草 新人欢迎积分
2 c9币
0 个 鹿顶鸡
0 只 笑熬浆糊
0 桶 阅读权限
60 来自
网2雄霸-电四天翔-聚八仙。 ... 注册时间
2008-8-12 TOP
http://www.duowan.com/
当前时区 GMT+8, 现在时间是 2011-8-5 21:42
Copyright
2000-2008
DuoWan.com
Powered by
Discuz!
2001-2007
Proce ed in 0.158975 second(s), 7 queries, Gzip enabled.系统检测到您的帐号可能存在被盗风险,请尽快
,并立即
。 | 网易博客安全提醒:
系统检测到您当前密码的安全性较低,为了您的账号安全,建议您适时修改密码 | | 飞飞淘宝幼儿园126.com
http://whuiui.taobao.com
导航 日志 打造不被查杀的黑器—特征码的自动定位与通用修改方法 2007-05-01 02:29:51
| 分类:
| 标签:
小 打造不被查杀的黑器—特征码的自动定位与通用修改方法
说明:此文写于两个月前,经过这两个月我又有了一些新的体会,以后有机会再介绍。特征码定位器的文章我写了两篇,一篇在1期的黑防上(有录像,较全),这里给出第二篇。因为是介绍,所以挑了最简单的例子(实际情况可能会复杂一些,因为大多数黑器需要修改前要先脱壳,某些插入型后门需要将DLL导出再修改,还有些要处理尾部叠加数据。)有BUG请各位一定指出。
一、 序
杀毒软件检测木马,后门等黑器时,最传统也是最有效的方法之一是特征码比较。越是名气大的黑器越是被追杀的体无完肤。有时候好不易突破了对方防火墙的堵截,想传个心爱的后门过去,可立足未稳就已经被对方的杀毒软件***毙了。当然,各种加壳软件能在一定程度上减小后门被发现的可能性,但现在杀毒软件自动脱壳的功能越来越强,给文件加壳终究是一种治标不治本的方法。因此,最好还是能从程序本身入手,将特征码找出来并修改掉,就算不加壳也能确保不被查杀。不放心的话,再加个极品壳,来个双保险,岂不爽哉!
二、 基本原理
想要修改特征码就必须先找出它的所在。冰狐兄有篇名为《杀毒软件能奈我何——网络神偷特征码修改实战》的文章介绍了字节替换的原理,总结起来就一句话:如果文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软件就不会报警,以此确定特征码的位置。这个方法简单而有效,但是手动操作起来工作量太大。受作者启发,我编写了个小程序来自动实现特征码定位的功能。
三、 参数设置和注意事项
CCL的原理是将原文件中部分字节替换为0,然后生成新文件,再根据杀毒软件来检测这些文件的结果判断特征码的位置。使用CCL之前应该先设置一下参数,包括操作方式是自动还是手动,生成文件的路径。
自动操作时,有一个参数很重要,就是每生成一个文件等待的秒数。因为我们要保证杀毒软件在这个几秒钟内对替换过的文件进行了检测,并能删除该文件(如果含特征码的话),然后CCL根据刚才的生成文件是否被删除来决定下面的操作。如果间隔时间过短,杀毒软件没有来得及检测,CCL就进入了下一轮操作,嘿嘿,轻者判断结果出错,重者系统很可能会崩溃的!建议先把时间设大一些,比如7到10秒。
应该明确的是,这种检测对已加壳的文件是无效的,因为带壳文件被替换的字节不是原程序的真身,而是加壳后的数据。不多说了,下面进入实战演练!
四、 实战之一:wi hell特征码的自动定位
铛铛铛!第一个目标是wi hell,检测一下,一声刺耳的驴叫,卡巴斯基报警发现了Backdoor.Win32.Wi hell.50[见图1]
下面让我们利用自动替换功能来定位特征码。首先运行CCL,将参数设为自动,等待时间7秒,最小定位精度设为16个字节。然后关闭杀毒软件即时监测功能(以后均简称为监测),打开待检测文件。成功读入后会弹出PE文件段选择窗口[如图2],这是让用户选择对文件的哪一个部分进行替换。我们双击.text段(这是可执行文件的代码段),然后用户输入区会显示相应数据。我们再点击“添加区段”,就成功地添加了一个待检测区段。当然,你也可以直接在“用户输入区”填入数据然后添加。双击已添加的区段,可以删除任务。
这里有个问题,我们应该选择几个段进行检测呢?最简单的方法是一个都不选,程序会默认对整个文件进行检测。但有时候文件过大,或者你能确定特征码位于某个段中,为了避免替换时间过长,就可以选择特定的范围进行检测。
还有一个选项叫“是否填充0”,这个选项的功能是指为了预先排除某些部分的干扰,我们在生成文件中将该部分用0填充。呵呵,举个例说明一下,文件有A、B两处特征码,为了更精确的定义A,我们可以将B所在的段预先填0,然后专门定位A所在的部分。关于填充0的时机,大家在使用过程中会慢慢总结出来的。好了,回到wi hell,这里我们选择“不填充0”,也就是正常替换。
我们单击确定,弹出了操作窗口。[见图3]
窗口里显示了各种信息,包括文件名、生成路径、操作方式和需要硬盘空间(手动的话)。这时,别忘了打开监测,并且最好将该功能设为“遇到病毒时自动删除,不提醒用户”。然后打开“我的电脑”,进入生成文件的文件夹,让“我的电脑”窗口保持在前台。为什么呢?因为有的杀毒软件只对前台窗口生成的文件进行即时监测,比如我机上的卡巴斯基。还有一些杀毒软件,就算“我的电脑”窗口在前台也不一定对生成文件检测,这时可以不断的在文件图标上单击右键,来“刺激”一下杀毒软件。是不是有点儿复杂哈?
回到CCL,确认窗口显示的信息无误后,单击GO,开始自动检测。这时,你会发现“我的电脑”文件夹里多了两个文件,名称形如“OUT_XXXXXXXX_YYYYYYYY”,其中8个X代表当前替换0的起始偏移,8个Y代表替换多少字节的0。几秒钟内,会有一个文件被杀毒软件自动删除。(我再强调一下,7秒钟是你设定的等待时间,要确保含特征码的文件在这7秒内被删除掉。)7秒钟后,会生成另外两个文件,这是CCL进行下一轮检测了。这样等啊等,期间不停的在生成文件图标上点鼠标右键(不知道除了卡巴斯基,其它的杀毒软件需不需要这样的刺激),过了2分多钟,结果出来了。 -------------定位结果------------ 序号 起始偏移 大小 结束偏移 0001 0000180C 00000014 00001820 0002 00002130 00000050 00002180 0003 00002810 00000028 00002838 0004 000028D8 00000014 000028EC 这个结果说明特征码可能在这四段中。定位成功了?呵呵,不要急,这才刚刚完成了一半,下面还要对文件进行修改,并最后确定特征码的位置与类型。小提示:四处结果不一定都需要改,如果只改动一处就成功,那是最好不过的。挑一处段大小最小的改吧,就第一项,从文件偏移0x180C开始的0x14个字节。我们用OllyDbg打开wi hell.exe,来到0x0040180C处。这里省略了文件偏移和内存偏移的转换,不知道要先补补课。代码如下:
0040180E 83C0 C1 add eax,-3F 00401811 83F8 39 cmp eax,39
00401814 0F87 5C01000 ja win.00401976
0040181A 33C9 xor ecx,ecx
0040181C 8A88 0C1A400 mov cl,byte ptr ds:[eax+401A0C]
00401822 FF248D E4194 jmp dword ptr ds:[ecx*4+4019E4]
怎么改呢?这里讲两个通用的方法。特征码不可能只由某一句指令来确定,这样误报率会非常高,因此通常是多条指令的组合,我们只要将这个组合打乱既可。最简单的方法当然是两条指令调个顺序,我们把它叫做指令顺序调换法,它使用的范围仅限于互不干扰的两条指令。可有很多情况,指令的执行顺序是不能调的,比如上面的6条指令,这时就用第二种方法,那就是,咳咳,通用跳转法则:在文件中寻找一个空隙,(由于对齐的原因,PE文件中往往会有一些空隙处没有代码,全部为0。为什么?补课的先!)将原来的指令改成一个跳转,跳到这个空隙去执行,空隙处填入我们原来的指令,执行完毕再跳转回去。我们将OllyDbg的滚动条向下拉,Look,在0x00405D20处有空隙。[见图4]
修改方法见下面(改之前别忘了先将原文件备份一下):
0040180E /E9 0D450000 jmp wi hell.00405D20
00401813 |90 nop
00401814 |0F87 5C010000 ja wi hell.00401976
为什么要改add和cmp两句?因为jmp指令占了5个字节,而add和cmp均为3字节指令,只能两个一起改了。好,我们将0x0040180E处改为jmp 00405D20,多出一个字节我们改为nop。(不改nop也行,但是OllyDbg显示时会出现花指令,我们是追求完美的。)接着在空白处将原来的add和cmp两条指令补上,尾部再来个jmp回去的代码。在jmp回去时,可以回到nop,也可以直接跳到ja处,这里选择跳回nop。
00405D20 83C0 C1 add eax,-3F
00405D23 83F8 39 cmp eax,39
00405D26 ^ E9 E8BAFFFF jmp wi hell.00401813
修改完毕,我们保存一下先。在OllyDbg窗口中单击右键选择“复制到可执行文件—全部保存”,然后保存到wi hell.exe中。OK,在菜单中选择“重新运行”,回到0040180E处,确定刚才的修改已经保存了。关闭OllyDbg,找到wi hell.exe,用杀毒软件进行扫描。嘿嘿,卡巴斯基已经认不出它来了![见图5]打完收功!
你也许会问,不管什么杀毒软件都是这样修改吗?***是:NO。各个杀毒软件对特征码的定义是不一样的,唯一的方法就是分别对每个平台进行检测,再有针对性的修改。修改方法一样:指令顺序调换法(这种最简单)和通用跳转法!对了,还有一点:尽量在代码段中找空,但有时候代码段中的空隙实在是不够,就把跳转的代码写在别的段中。由于这些段的默认属性里没有“可执行”这一项,你把代码移过去执行自然会报错,这时用PE修改工具将段属性加上可执行就可以了。
五、 实战之二:手动与自动结合定位黑社会2.0的特征码
(后来我知道这里有一点小失误,因为我改的是服务端的代码,而黑社会的服务端是在自已的机器上运行的。不过没关系,可以当作另一种类型特征码的展示。)
Wi hell是VC编译的文件,那么对于别的语言编写的程序,比如汇编、VB等等,这种定位还有效吗?原则上来说,只要是编译成机器码的程序都可以定位。VB是一种解释语言,它的可执行文件的代码不单纯是机器码(汇编指令),不知道CCL对它的定位效果如何。黑社会2.0是一个VB编写的集远程管理与攻击为一体的黑器,下面来测试一下它的特征码定位。OK,闲言碎语不要讲,让我们直奔主题。
黑社会的执行文件是AsPack加的壳,可以用A ackDie1.41自动脱去。这一次我们改变一下操作方法,由全自动改为手动与自动结合,先利用手动替换来大体确定特征码的范围。首先运行CCL,设置参数为手动,按规定个数输出文件,输出个数为100。参数设置完后打开已脱壳的文件,在弹出的PE段选择对话框中直接点击“确定”按钮,也就是对整个文件进行替换。关闭监测,然后在操作窗口中单击“GO”,很快100个文件就生成了。(友情提醒:手动生成大量文件时,一定要将监测关闭,不然杀毒软件要同时处理这成百上千个带毒文件,可能会崩溃的!)
我们用杀毒软件对这100个文件进行扫描,在杀毒软件删除了所有含特征码的文件后,只剩下两个文件。我们在工具栏中选择“定位”按钮并打开刚才的生成文件夹,确定后主窗口上便显示出了定位信息。[见图6]
编号为1的结果显示是从偏移0000开始替换的,在我的机器上这个结果不用考虑,因为卡巴斯基软件对于没有PE头的文件是不进行特征码检测的,文件1中恰好是PE头被替换了,自然就不会被删除。(据说别的杀毒软件,比如Norton,不管有没有PE文件头都会进行特征码检测,具体情况要具体分析。)因此初步确定特征码在编号2的文件所表示的范围内,既0x2DC2到0x44A3之间的0x16E1个字节的范围内。
重新设置参数为自动,读入原文件,在“用户输入区”直接输入起始位置2DC2和检测大小16E1,不填充0,然后点击添加区段,确定后进入操作窗口。打开监测,单击GO,开始自动检测,操作方法和检测wi hell时一样。又经过一番对鼠标右键的折磨,终于得出了结果: -------------定位结果------------ 序号 起始偏移 大小 结束偏移 0001 000031C6 00000016 000031DC 0002 00003A16 0000002C 00003A42 0003 00003A44 0000002C 00003A70 0004 00003A71 0000002C 00003A9D 0005 00003AA0 0000002C 00003ACC 0006 00003ACD 0000002C 00003AF9 哇,有6处耶!老规矩,柿子要挑软的捏,我们先来查看范围最小的0001项。OllyDbg打开原文件,找到0x004031C6处,看看是些什么。怎么回事?不是汇编指令啊!除了0就是几个毫无意义的数据。
004031C6 0
0 db 00
004031D4 BA db BA
004031D5 DA db DA
004031D6 C9 db C9
004031D7 E7 db E7
004031D8 BB db BB
004031D9 E1 db E1
004031DA 00 db 00
不是汇编指令,那可不可能是字符串呢?我们在命令行里打“dd 004031d4”,既显示0x004031d4处的内容,然后将数据窗口的显示方式改为“文本ASCII(32)”,随即左下角小窗口中显示出“黑社会”三个字,而且有三处。[见图7]原来“BADAC9E7BBE1”是这三个汉字的ASCII代码。难道杀毒软件就靠文件中的“黑社会”去识别黑社会?
为了证明我们的想法,我们用32位编辑工具UltraEdit打开原文件,搜索“黑社会”三个字,一共找到了7处。干脆,一不做二不休,我们将7处“黑社会”全部替换为“白晶晶”。[见图8]
保存一下,再用杀毒软件检测。我靠,果然认不出来了!黑社会2.0的特征码就这样被我们搞定了,真是得来全不费工夫啊,竟然是直接用汉字作为特征码!运行一下修改过的文件,挺好使,就是“关于”窗口上的标题从“黑社会”变成“白晶晶”了,呵呵!
六、 关于多处特征码的一点补充
前面两个实战中,我们虽然定位出了多处特征码,但只修改其中一处就可以了,这种情况不一定适用于所有的程序。根据笔者经验,特征码可能有主副之分。主特征码被修改,则无论副特征码是否存在,文件均可以逃过追杀;但如果只修改副特征码,而不修改主特征码,则文件始终会被杀毒软件辩认出来,只不过识别出的版本有所差别。所以,我们修改的目标重点是文件中的主要特征码。
七、 结语
差不多了,我们来总结一下吧!
用CCL定位特征码时,手动替换和自动替换应该互补使用,没有一个方法是全能的。通常为用手动确定大范围,用自动精确定位小范围。定位成功后,看特征码的类型。如果是汇编指令,用“指令顺序调换法”或“万能跳转法”进行修改;如果是字符串等,在不影响原程序运行的情况下,替换掉既可。
操作方法也很重要,操作过程中注意和杀毒软件的配合,多试几次,掌握不同杀毒软件的特点,合理设置等待时间和最小定位精度等参数。更重要的是,确保自动检测过程中,杀毒软件对生成文件进行了检测,适当加上点“刺激”(比如我的鼠标右键刺激大法)。
讲到这儿,相信你应该知道怎样打造自己的无敌黑器了吧!
本文提及工具请在本在下载区下 评论这张
转发至微博
人 | 分享到: 阅读(
举报 历史上的今天
相关文章
最近读者
this.p={
id:'fks_087066083085089075087081084095080080087069084087083068',
blogTitle:'打造不被查杀的黑器—特征码的自动定位与通用修改方法',
blogA tract:'
打造不被查杀的黑器—特征码的自动定位与通用修改方法
说明:此文写于两个月前,经过这两个月我又有了一些新的体会,以后有机会再介绍。特征码定位器的文章我写了两篇,一篇在1期的黑防上(有录像,较全),这里给出第二篇。因为是介绍,所以挑了最简单的例子(实际情况可能会复杂一些,因为大多数黑器需要修改前要先脱壳,某些插入型后门需要将DLL导出再修改,还有些要处理尾部叠加数据。)有BUG请各位一定指出。
一、 序
杀毒软件检测木马,后门等黑器时,最传统也是最有效的方法之一是特征码比较。越是名气大的黑器越是被追杀的体无完肤。有时候好不易突破了对方防火墙的堵截,想传个心爱的后门过去,可立足未稳就已经被对方的杀毒软件***毙了。当然,各种加壳软件能在一定程度上减小后门被发现的可能性,但现在杀毒软件自动脱壳的功能越来越强,给文件加壳终究是一种治标不治本的方法。因
blogTag:'',
blogUrl:'blog/static/466601572007412295144',
isPublished:1,
istop:false,
type:0,
modifyTime:1177957791044,
publishTime:1177957791044,
permalink:'blog/static/466601572007412295144',
commentCount:0,
mainCommentCount:0,
recommendCount:0, rk:-100,
publisherId:0,
recomBlogHome:false,
attachmentsFileIds:[],
vote:{},
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'河北',
visitorCity:'廊坊',
isWeekend:true,
taobaoVersion:6,
taobaolink:"http://g.163.com/a?CID=4399&Values=3931351846&Redirect=http://ju.atpanel.com/?url=http://www.tmall.com/?ad_id=100040497852881d4a61&am_id=&cm_id= m_id=",
taobaobgimage:"http://blog.163.com/newpage/images/taobaolayerbg5.jpg",
mset:'000',
mcon:'',
srk:-100,
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false
{list a as x}
{if !!x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
{/list}
{if !!a}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
{if !!x}
{/list}
推荐过这篇日志的人:
{list a as x}
{if !!x}
{/list}
{if !! .length>0}
他们还推荐了:
{list b as y}
{if !!y}
{/list}
引用记录:
{list d as x}
{/list}
{list a as x}
{if !!x}
{/list}
{list a as x}
{if !!x}
{/list}
{list a as x}
{if !!x}
{/list}
{list a as x}
{if x_index>9}{break}{/if}
{if !!x}
${fn2(parseInt(x.date),'yyyy-MM-dd HH:mm: ')}
{/list}
{list a as x}
{if x_index>4}{break}{/if}
{if !!x}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm: ')}
{/list}
最新日志
该作者的其他文章
博主推荐
相关日志
随机阅读
首页推荐 {list a as x}
{if !!x} 投票给
{var first_option = true;}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if} “${b[voteToOption_index]}” {/if}
{/list}
{if (x.role!="-1") },“我是${c[x.role]}” {/if} ${fn1(x.voteTime)}
{if x.userName==''}{/if}
{/list} 页脚
- 网易公司版权所有 copy;1997-2011 {list wl as x}
{list x.l as y}
{/list}
{/list}
{if defined('wl')}
{list wl as x}
{/list}