首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

输入表隐藏[转]

作者:mobiledu2502855757 | 来源:互联网 | 2017-11-11 09:01
隐藏所有的输入表函数:EXE和DLL通用----------№冰浪№为尽量实现简单傻瓜式的操作及代码通用性,利用些病毒常用技术,特此感谢看雪xfish大侠及其巨著:【AntiVirus专题】系列!!!请按下列步骤操作:1:用LoadPE打开文件,点击目录,记下输入表的RVA地址。2:

 

隐藏所有的输入表函数:
EXE和DLL通用----------№冰浪№


为尽量实现简单傻瓜式的操作及代码通用性,利用些病毒常用技术,特此感谢
看雪xfish大侠及其巨著:【Anti Virus专题】系列!!!


请按下列步骤操作:

1:用LoadPE打开文件,点击目录,记下输入表的RVA地址。
2:用OD载入程序,在空白处加入下面代码,并把刚记下的RVA地址及返回原入口点地址填好。.
3:更改入口点为此代码开始处(非必须,但得确保程序调用函数前运行此代码)。
4:把原输入表的RVA地址填0,输入表区段属性改为可写。



完整代码如下:

10074280 > $ E8 01000000   CALL 1291SS.10074286
10074285      00            DB 00
10074286   . 58            POP EAX
10074287   . 8038 00       CMP BYTE PTR DS:[EAX],0
1007428A   . 0F85 F5000000 JNZ 1291SS.10074385
10074290   . FE00          INC BYTE PTR DS:[EAX]
10074292      64:A1 3000000>MOV EAX,DWORD PTR FS:[30]
10074298      8B40 0C       MOV EAX,DWORD PTR DS:[EAX+C]
1007429B      8B40 1C       MOV EAX,DWORD PTR DS:[EAX+1C]
1007429E      8B00          MOV EAX,DWORD PTR DS:[EAX]
100742A0      8B40 08       MOV EAX,DWORD PTR DS:[EAX+8]
100742A3   . 8BD8          MOV EBX,EAX
100742A5   . E8 0F000000   CALL 1291SS.100742B9
100742AA   . 47            INC EDI
100742AB   . 65:74 50      JE SHORT 1291SS.100742FE
100742AE   . 72 6F         JB SHORT 1291SS.1007431F
100742B0   . 6341 64       ARPL WORD PTR DS:[ECX+64],AX
100742B3   . 64:72 65      JB SHORT 1291SS.1007431B
100742B6   . 73 73         JNB SHORT 1291SS.1007432B
100742B8      00            DB 00
100742B9   . 59            POP ECX
100742BA   . 60            PUSHAD
100742BB   . 89C3          MOV EBX,EAX
100742BD   . 89CF          MOV EDI,ECX
100742BF   . 30C0          XOR AL,AL
100742C1   > AE            SCAS BYTE PTR ES:[EDI]
100742C2   .^ 75 FD         JNZ SHORT 1291SS.100742C1
100742C4   . 4F            DEC EDI
100742C5   . 29CF          SUB EDI,ECX
100742C7   . 87F9          XCHG ECX,EDI
100742C9   . 8B43 3C       MOV EAX,DWORD PTR DS:[EBX+3C]
100742CC   . 8B7403 78     MOV ESI,DWORD PTR DS:[EBX+EAX+78]
100742D0   . 8D741E 18     LEA ESI,DWORD PTR DS:[ESI+EBX+18]
100742D4   . AD            LODS DWORD PTR DS:[ESI]
100742D5   . 92            XCHG EAX,EDX
100742D6   . AD            LODS DWORD PTR DS:[ESI]
100742D7   . 50            PUSH EAX
100742D8   . AD            LODS DWORD PTR DS:[ESI]
100742D9   . 95            XCHG EAX,EBP
100742DA   . AD            LODS DWORD PTR DS:[ESI]
100742DB   . 95            XCHG EAX,EBP
100742DC   . 01D8          ADD EAX,EBX
100742DE   . 897C24 18     MOV DWORD PTR SS:[ESP+18],EDI
100742E2   . 894C24 14     MOV DWORD PTR SS:[ESP+14],ECX
100742E6   > 4A            DEC EDX
100742E7   . 74 27         JE SHORT 1291SS.10074310
100742E9   . 8B3490        MOV ESI,DWORD PTR DS:[EAX+EDX*4]
100742EC   . 01DE          ADD ESI,EBX
100742EE   . F3:A6         REPE CMPS BYTE PTR ES:[EDI],BYTE PTR DS:>
100742F0   . 74 0A         JE SHORT 1291SS.100742FC
100742F2   . 8B7C24 18     MOV EDI,DWORD PTR SS:[ESP+18]
100742F6   . 8B4C24 14     MOV ECX,DWORD PTR SS:[ESP+14]
100742FA   .^ EB EA         JMP SHORT 1291SS.100742E6
100742FC   > D1E2          SHL EDX,1
100742FE   > 01D5          ADD EBP,EDX
10074300   . 0FB7441D 00   MOVZX EAX,WORD PTR SS:[EBP+EBX]
10074305   . C1E0 02       SHL EAX,2
10074308   . 030424        ADD EAX,DWORD PTR SS:[ESP]
1007430B   . 8B0403        MOV EAX,DWORD PTR DS:[EBX+EAX]
1007430E   . 01D8          ADD EAX,EBX
10074310   > 59            POP ECX
10074311   . 894424 1C     MOV DWORD PTR SS:[ESP+1C],EAX
10074315   . 895C24 18     MOV DWORD PTR SS:[ESP+18],EBX
10074319      E8            DB E8
1007431A      12            DB 12
1007431B   . 0000          ADD BYTE PTR DS:[EAX],AL
1007431D   . 0000          ADD BYTE PTR DS:[EAX],AL
1007431F   . 0000          ADD BYTE PTR DS:[EAX],AL
10074321   . 004C6F 61     ADD BYTE PTR DS:[EDI+EBP*2+61],CL
10074325   . 64:4C         DEC ESP
10074327      69            DB 69
10074328   . 6272 61       BOUND ESI,QWORD PTR DS:[EDX+61]
1007432B   . 72 79         JB SHORT 1291SS.100743A6
1007432D   . 41            INC ECX
1007432E   . 0000          ADD BYTE PTR DS:[EAX],AL
10074330   $ 59            POP ECX
10074331   . 83C1 04       ADD ECX,4
10074334   . 51            PUSH ECX
10074335   . 53            PUSH EBX
10074336   . FFD0          CALL EAX
10074338   . 894424 14     MOV DWORD PTR SS:[ESP+14],EAX
1007433C   . E8 00000000   CALL 1291SS.10074341
10074341   $ 5D            POP EBP
10074342   . 81E5 0000FFFF AND EBP,FFFF0000
10074348   . 33C0          XOR EAX,EAX
1007434A   . EB 06         JMP SHORT 1291SS.10074352
1007434C   > 81ED 00100000 SUB EBP,1000
10074352   > 66:8B45 00    MOV AX,WORD PTR SS:[EBP]
10074356   . 66:3D 4D5A    CMP AX,5A4D
1007435A   . 90            NOP
1007435B   .^ 75 EF         JNZ SHORT 1291SS.1007434C
1007435D   . 8B45 3C       MOV EAX,DWORD PTR SS:[EBP+3C]
10074360   . 8B0428        MOV EAX,DWORD PTR DS:[EAX+EBP]
10074363   . 3D 50450000   CMP EAX,4550
10074368   .^ 75 E2         JNZ SHORT 1291SS.1007434C
1007436A   . B8 48611100   MOV EAX,116148                      //这里填入LoadPE里显示的输入表RVA地址
1007436F   . 36:8D1C28     LEA EBX,DWORD PTR SS:[EAX+EBP]
10074373   > 8B43 0C       MOV EAX,DWORD PTR DS:[EBX+C]
10074376   . 85C0          TEST EAX,EAX
10074378   . 74 0A         JE SHORT 1291SS.10074384
1007437A   . E8 0D000000   CALL 1291SS.1007438C
1007437F   . 83C3 14       ADD EBX,14
10074382   .^ EB EF         JMP SHORT 1291SS.10074373
10074384   > 61            POPAD
10074385   >^ E9 828FF9FF   JMP 1291SS.1000D30C                 //加载输入表完毕,返回原入口点
1007438A      90            NOP
1007438B      90            NOP
1007438C   $ 53            PUSH EBX
1007438D   . 8D1428        LEA EDX,DWORD PTR DS:[EAX+EBP]
10074390   . 52            PUSH EDX
10074391   . FF5424 20     CALL DWORD PTR SS:[ESP+20]
10074395   . 8BD0          MOV EDX,EAX
10074397   . 8B5B 10       MOV EBX,DWORD PTR DS:[EBX+10]
1007439A   . 8D1C2B        LEA EBX,DWORD PTR DS:[EBX+EBP]
1007439D   > 8B03          MOV EAX,DWORD PTR DS:[EBX]
1007439F   . 85C0          TEST EAX,EAX
100743A1   . 74 23         JE SHORT 1291SS.100743C6
100743A3   . 3D 00000080   CMP EAX,80000000
100743A8   . 72 07         JB SHORT 1291SS.100743B1
100743AA   . 2D 00000080   SUB EAX,80000000
100743AF   . EB 06         JMP SHORT 1291SS.100743B7
100743B1   > 8D0428        LEA EAX,DWORD PTR DS:[EAX+EBP]
100743B4   . 83C0 02       ADD EAX,2
100743B7   > 52            PUSH EDX
100743B8   . 50            PUSH EAX
100743B9   . 52            PUSH EDX
100743BA   . FF5424 30     CALL DWORD PTR SS:[ESP+30]
100743BE   . 8903          MOV DWORD PTR DS:[EBX],EAX
100743C0   . 83C3 04       ADD EBX,4
100743C3   . 5A            POP EDX
100743C4   .^ EB D7         JMP SHORT 1291SS.1007439D
100743C6   > 5B            POP EBX
100743C7   . C3            RETN

二进制代码如下:
E8 01 00 00 00 00 58 80 38 00 0F 85 F5 00 00 00 FE 00 64 A1 30 00 00 00 8B 40 0C 8B 40 1C 8B 00
8B 40 08 8B D8 E8 0F 00 00 00 47 65 74 50 72 6F 63 41 64 64 72 65 73 73 00 59 60 89 C3 89 CF 30
C0 AE 75 FD 4F 29 CF 87 F9 8B 43 3C 8B 74 03 78 8D 74 1E 18 AD 92 AD 50 AD 95 AD 95 01 D8 89 7C
24 18 89 4C 24 14 4A 74 27 8B 34 90 01 DE F3 A6 74 0A 8B 7C 24 18 8B 4C 24 14 EB EA D1 E2 01 D5
0F B7 44 1D 00 C1 E0 02 03 04 24 8B 04 03 01 D8 59 89 44 24 1C 89 5C 24 18 E8 12 00 00 00 00 00
00 00 4C 6F 61 64 4C 69 62 72 61 72 79 41 00 00 59 83 C1 04 51 53 FF D0 89 44 24 14 E8 00 00 00
00 5D 81 E5 00 00 FF FF 33 C0 EB 06 81 ED 00 10 00 00 66 8B 45 00 66 3D 4D 5A 90 75 EF 8B 45 3C
8B 04 28 3D 50 45 00 00 75 E2 B8 48 61 11 00 36 8D 1C 28 8B 43 0C 85 C0 74 0A E8 0D 00 00 00 83
C3 14 EB EF 61 E9 82 8F F9 FF 90 90 53 8D 14 28 52 FF 54 24 20 8B D0 8B 5B 10 8D 1C 2B 8B 03 85
C0 74 23 3D 00 00 00 80 72 07 2D 00 00 00 80 EB 06 8D 04 28 83 C0 02 52 50 52 FF 54 24 30 89 03
83 C3 04 5A EB D7 5B C3

推荐阅读
  • php

    《中秋夜作》翻译及原文赏析,诗人当代钱钟书

    本文介绍了《中秋夜作》的翻译及原文赏析,以及诗人当代钱钟书的背景和特点。通过对诗歌的解读,揭示了其中蕴含的情感和意境。 ... [详细]
  • php

    SQL日志收缩及截断方法详解

    本文详细介绍了SQL日志收缩的方法,包括截断日志和删除不需要的旧日志记录。通过备份日志和使用DBCC SHRINKFILE命令可以实现日志的收缩。同时,还介绍了截断日志的原理和注意事项,包括不能截断事务日志的活动部分和MinLSN的确定方法。通过本文的方法,可以有效减小逻辑日志的大小,提高数据库的性能。 ... [详细]
  • python

    搭建Windows Server 2012 R2 IIS8.5+PHP(FastCGI)+MySQL环境的详细步骤

    搭建Windows Server 2012 R2 IIS8.5+PHP(FastCGI)+MySQL环境的详细步骤
    本文详细介绍了搭建Windows Server 2012 R2 IIS8.5+PHP(FastCGI)+MySQL环境的步骤,包括环境说明、相关软件下载的地址以及所需的插件下载地址。 ... [详细]
  • js

    PHP图片截取方法及应用实例

    PHP图片截取方法及应用实例
    本文介绍了使用PHP动态切割JPEG图片的方法,并提供了应用实例,包括截取视频图、提取文章内容中的图片地址、裁切图片等问题。详细介绍了相关的PHP函数和参数的使用,以及图片切割的具体步骤。同时,还提供了一些注意事项和优化建议。通过本文的学习,读者可以掌握PHP图片截取的技巧,实现自己的需求。 ... [详细]
  • js

    关羽败走麦城时路过马超封地 马超为何没有出手救人

    关羽败走麦城时路过马超封地 马超为何没有出手救人
    对当年关羽败走麦城,恰好路过马超的封地,为啥马超不救他?很感兴趣的小伙伴们,趣历史小编带来详细的文章供大家参考。说到英雄好汉,便要提到一本名著了,没错,那就是《三国演义》。书中虽 ... [详细]
  • text

    C#学习教程:在Console中工作但在Windows窗体中不工作的异步代码分享

    本文分享了一个关于在C#中使用异步代码的问题,作者在控制台中运行时代码正常工作,但在Windows窗体中却无法正常工作。作者尝试搜索局域网上的主机,但在窗体中计数器没有减少。文章提供了相关的代码和解决思路。 ... [详细]
  • js

    Java实现大数乘法(分治算法)

    本文介绍了使用Java实现大数乘法的分治算法,包括输入数据的处理、普通大数乘法的结果和Karatsuba大数乘法的结果。通过改变long类型可以适应不同范围的大数乘法计算。 ... [详细]
  • js

    PHP设置MySQL字符集的方法及使用mysqli_set_charset函数

    PHP设置MySQL字符集的方法及使用mysqli_set_charset函数
    本文介绍了PHP设置MySQL字符集的方法,详细介绍了使用mysqli_set_charset函数来规定与数据库服务器进行数据传送时要使用的字符集。通过示例代码演示了如何设置默认客户端字符集。 ... [详细]
  • js

    Java序列化对象传给PHP的方法及原理解析

    Java序列化对象传给PHP的方法及原理解析
    本文介绍了Java序列化对象传给PHP的方法及原理,包括Java对象传递的方式、序列化的方式、PHP中的序列化用法介绍、Java是否能反序列化PHP的数据、Java序列化的原理以及解决Java序列化中的问题。同时还解释了序列化的概念和作用,以及代码执行序列化所需要的权限。最后指出,序列化会将对象实例的所有字段都进行序列化,使得数据能够被表示为实例的序列化数据,但只有能够解释该格式的代码才能够确定数据的内容。 ... [详细]
  • js

    橱窗设计的表现手法及其应用

    橱窗设计的表现手法及其应用
    本文介绍了橱窗设计的表现手法,包括直接展示、寓意与联想、夸张与幽默等。通过对商品的折、拉、叠、挂、堆等陈列技巧,橱窗设计能够充分展现商品的形态、质地、色彩、样式等特性。同时,寓意与联想可以通过象形形式或抽象几何道具来唤起消费者的联想与共鸣,创造出强烈的时代气息和视觉空间。合理的夸张和贴切的幽默能够明显夸大商品的美的因素,给人以新颖奇特的心理感受,引起人们的笑声和思考。通过这些表现手法,橱窗设计能够有效地传达商品的个性内涵,吸引消费者的注意力。 ... [详细]
  • js

    HDU 2372 El Dorado(DP)的最长上升子序列长度求解方法

    HDU 2372 El Dorado(DP)的最长上升子序列长度求解方法
    本文介绍了解决HDU 2372 El Dorado问题的一种动态规划方法,通过循环k的方式求解最长上升子序列的长度。具体实现过程包括初始化dp数组、读取数列、计算最长上升子序列长度等步骤。 ... [详细]
  • js

    faceu激萌变老特效的使用方法详解

    faceu激萌变老特效的使用方法详解
    本文介绍了faceu激萌变老特效的使用方法,包括打开faceu激萌app、点击贴纸、选择热门贴纸中的变老特效,然后对准人脸进行拍摄,即可给照片添加变老特效。操作简单,适合新用户使用。 ... [详细]
  • js

    Android中高级面试必知必会,积累总结

    Android中高级面试必知必会,积累总结
    本文介绍了Android中高级面试的必知必会内容,并总结了相关经验。文章指出,如今的Android市场对开发人员的要求更高,需要更专业的人才。同时,文章还给出了针对Android岗位的职责和要求,并提供了简历突出的建议。 ... [详细]
  • js

    大连微软技术社区举办《.net core始于足下》活动,获得微软赛百味和易迪斯的赞助

    大连微软技术社区举办《.net core始于足下》活动,获得微软赛百味和易迪斯的赞助
    九月十五日,大连微软技术社区举办了《.net core始于足下》活动,共有51人报名参加,实际到场人数为43人,还有一位专程从北京赶来的同学。活动得到了微软赛百味和易迪斯的赞助,场地也由易迪斯提供。活动中大家积极交流,取得了非常成功的效果。 ... [详细]
  • js

    从二叉树中随机选择节点

    给定一个二叉树,要求随机选择树上的一个节点。解法:遍历树的过程中,随机选择一个节点即可。具体做法参看:从输入 ... [详细]
author-avatar
mobiledu2502855757
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有