破图标方式
- 更新windows update 更新到最新版即可
解决秒封号的问题
- 使用系统名字命名exe程序 例如:svchost
过三方木马加载
-
虚拟磁盘 + 处理易语言自身 + 伪装文件 + 加壳压缩
2.伪装文件:用Restorator2007工具
1.处理易语言自身:程序--配置--沟去掉 就没有易语言特征了
02-01.png
将易语言程序拖入此工具,只保留字符串,其他部分全部删除。
因为我们要把易语言程序伪装成系统程序csrss.exe,所以我们把csrss.exe也拖进工具内
02-02.png
把csrss.exe程序的版本,界面,等信息都拖到我们的易语言程序里,如上图,从而达到伪装的目的。到这步按我的理解已经算是完成伪装了。至于为啥还要用peload工具修改入口点,和删除节表的名字没有理解。
PELoad使用,修改入口点,使其+1 ,然后选择section到节表删除节的名字(个人感觉这一步没有啥用)(杀软杀不到真正的入口地址)
02-04.png
3.加壳压缩:如下图
02-03.png
去除输出表勾上,伪装签名一般选择VB5.0 然后压缩,即加壳压缩完成。
4.虚拟磁盘:由于游戏可能会把你辅助上传到游戏服务器分析,导致检测到非法文件,出现第三方。利用虚拟磁盘是防止游戏检测到你本地存放辅助的位置(利用u盘也可以,辅助打开后拔掉u盘)。
具体步骤:我的电脑右键--管理--磁盘管理右键--创建vhd
02-05.png
右键新建简单卷,完成之后,我的电脑就会多了个盘符。然后把我们的辅助放进此盘符。
注意打开辅助之后,然后在进入到磁盘管理右键--分离vhd。
** 如果以上操作后还出现第三方,有可能就是程序内部函数出现被检测的问题。例如模块里面的取进程ID(解决方法 可以手动填入进程ID,不要调用模块的这个函数了) **
游戏逆向交流:www.yxfzedu.com
网友评论