新研究写法思路 XNF-木马加载处理-你们可以试试

╰ 沉鱼落雁

新研究写法思路 XNF-木马加载处理-你们可以试试

1. .版本 2
   
2. 
   
3. 
   
4. .子程序 假断检测
   
5. 
   
6. .局部变量 首地址, 整数型
   
7. 
   
8. .局部变量 地址__, 整数型
   
9. 
   
10. 
    
11. 首地址 ＝ 十六到十 (“06000000”)
    
12. 
    
13. .变量循环首 (首地址, 首地址 ＋ 52428800, 65536, 地址__)
    
14. 
    
15.     .如果真 (读内存字节集 (进程ID, 地址__, 4) ＝ { 139, 4, 36, 195 })
    
16. 
    
17.         写内存字节集 (进程ID, 地址__, { 195, 144, 144 })
    
18. 
    
19.         跳出循环 ()
    
20. 
    
21.     .如果真结束
    
22. 
    
23. 
    
24. .变量循环尾 ()
    
25. 
    
26. 
    
27. 
    
28. .子程序 防网络中断
    
29. 
    
30. .局部变量 首地址, 整数型
    
31. 
    
32. .局部变量 地址, 整数型
    
33. 
    
34. 
    
35. 首地址 ＝ 十六到十 (“06000000”)
    
36. 
    
37. .变量循环首 (首地址, 首地址 ＋ 52428800, 65536, 地址)
    
38. 
    
39.     .如果真 (读内存字节集 (进程ID, 地址, 4) ＝ { 139, 4, 36, 195 })
    
40. 
    
41.         写内存字节集 (进程ID, 地址, { 195, 144, 144 })
    
42. 
    
43.         跳出循环 ()
    
44. 
    
45.     .如果真结束
    
46. 
    
47. 
    
48. .变量循环尾 ()
    
49. 
    
50. 
    
51. .子程序 防中断检测
    
52. 
    
53. .局部变量 首地址11, 整数型
    
54. 
    
55. .局部变量 地址1, 整数型
    
56. 
    
57. .局部变量 地址2, 整数型
    
58. 
    
59. .局部变量 地址3, 整数型
    
60. 
    
61. 
    
62. 首地址11 ＝ 十六到十 (“04000000”)
    
63. 
    
64. .变量循环首 (首地址11, 首地址11 ＋ 55806496, 65536, 地址1)
    
65. 
    
66.     .如果真 (读内存字节集 (进程ID, 地址1, 4) ＝ { 139, 4, 36, 195 })
    
67. 
    
68.         写内存字节集 (进程ID, 地址2, { 195, 144, 144 })
    
69. 
    
70.         跳出循环 ()
    
71. 
    
72.     .如果真结束
    
73. 
    
74. 
    
75. .变量循环尾 ()
    
76. 
    
77. 
    
78. .子程序 防驱动中断
    
79. 
    
80. .局部变量 首地址, 整数型
    
81. 
    
82. .局部变量 地址, 整数型
    
83. 
    
84. 
    
85. 首地址 ＝ 十六到十 (“06000000”)
    
86. 
    
87. .变量循环首 (首地址, 首地址 ＋ 首地址 ＋ 十六到十 (“06000000”), 十六到十 (“10000”), 地址)
    
88. 
    
89.     .如果真 (读内存字节集 (进程ID, 地址, 4) ＝ { 139, 4, 36, 195 })
    
90. 
    
91.         写内存字节集 (进程ID, 地址, { 195, 144, 144 })
    
92. 
    
93.         跳出循环 ()
    
94. 
    
95.     .如果真结束
    
96. 
    
97. 
    
98. .变量循环尾 ()
    

复制代码

这个是-处理木马加载写法思路

1. .版本 2
   
2. 
   
3. 
   
4. .子程序 Pass_环境异常, , 公开
   
5. 
   
6. 
   
7. 暂停进程 (“Tencentdll.exe”)
   
8. 
   
9. 暂停进程 (“TenSafe_1.exe”)
   
10. 
    
11. 暂停进程 (“TenioDL.exe”)
    
12. 
    
13. 暂停进程 (“tcls_core.exe”)
    
14. 
    
15. 暂停进程 (“txplatform.exe”)
    
16. 
    
17. 假断检测 ()
    
18. 
    
19. 防网络中断 ()
    
20. 
    
21. 防中断检测 ()
    
22. 
    
23. 防驱动中断 ()
    
24. 
    
25. 
    
26. .子程序 Pass_恢复环境异常, , 公开
    
27. 
    
28. 
    
29. 进程恢复 (“Tencentdll.exe”)
    
30. 
    
31. 进程恢复 (“TenSafe_1.exe”)
    
32. 
    
33. 进程恢复 (“TenioDL.exe”)
    
34. 
    
35. 进程恢复 (“tcls_core.exe”)
    
36. 
    
37. 进程恢复 (“txplatform.exe”)
    

复制代码

这个目前市场的盗版写法思路...可以作为参考试试一搏

1. .版本 2
   
2. 
   
3. 
   
4. .子程序 动态CRC1, 文本型, 公开, 第五季荣光更新 新添加
   
5. 
   
6. .局部变量 人偶基址_, 整数型
   
7. 
   
8. .局部变量 特征码, 整数型
   
9. 
   
10. 
    
11. 特征码 ＝ 内存操作.搜索基址 (还原字节集2 (“5E 5B 8B 4D F4 5F 64 89 0D 00 00 00 00 8B E5 5D C3 90 90”), , 十六到十 (“04000000”), 十六到十 (“05000000”))
    
12. 
    
13. 人偶基址_ ＝ 读内存整数型 (进程ID, 特征码 － 4)
    
14. 
    
15. 返回 (十到十六 (人偶基址_))
    

复制代码

好   就到这把，我已经实战成功 已解决 木马加载处理的办法了



联系我时，请说是在 挂海论坛 上看到的，谢谢！

zhuzhuli

在撸一遍。。

zhuzhuli

太生气了，无法HOLD啦 >_<......

神奇宝宝

怎么弄啊，大神求教啊

小阿晨

支持支持支持

小阿晨

支持支持支持支持

sionbarzahd

看到这帖子真是高兴！

Hacker

无论是不是沙发都得回复下

juanzi

好帖必须得顶起

zhuzhuli

高手云集 果断围观