--------------------------------
黑客动画吧
http://www.hack58.com

致力于中国最专业的黑客安全站点

黑客动画吧，有你更精彩

-------------------------------

大家好

我是小东￠酷儿（黑吧ID：cici584522）

今天在黑吧论坛看到有位朋友问 DLL文件瑞星内存如何定位

我找了下。黑吧关于这个的教程的确少

今天就来做一个

我就拿鸽子的键盘记录插件做演示

先来查下，我们先来过表面吧。有些问题也请菜鸟注意下

首先打开OD加个花

003EA8A8原入口点
003EA92C   新入口

非常简单的花

这里注意

显示出的地址与真实地址有写出入。。。我们只取不同点

现在仍不能过瑞星，来定位吧

拿OC来转换下地址 0040A8D8 内存地址 这里还是要注意 0040A8D8直接输入这个可是找不到的

这里只取后4位，看不懂的要自己慢慢琢磨下。并不难

003EA8D6  |.  B8 F0C73E00   MOV EAX,1.003EC7F0
003EA8DB  |.  B9 10A93E00   MOV ECX,1.003EA910                       ;  ASCII "PluginCNLOG.DLL"

这2段特征是记录插件的关键地点。。无论移动还是修改。。都会让插件失效

但我们可以把他们周围的可以跳的跳开。看我操作/。。。。。。。。。。。

003EA8D3  |.  8B55 C0       MOV EDX,DWORD PTR SS:[EBP-40]

上面这句可以移动
003EA945      8B55 C0       MOV EDX,DWORD PTR SS:[EBP-40]
003EA8D5      90            NOP

查下，表面过了。 现在载入到鸽子里去看看改烂没

上线了。看看能记录否。能记录。呵呵

但现在并不免杀内存。。MYCCL是无法定为DLL内存的。我们来看看

只有用OD的一半一半定位法。或许很多朋友都不知道这个办法

我就来演示下。。分块每次只分2个

然后打开OD，一个一个载入后查杀

这个分块没查到。。查到的是我的鸽子主程序

看下一个分块，这个杀出来了。然后我们手功删掉分块

然后2次处理，DLL的内存定位是非常耗时与麻烦的

这2个已经查不出来了。。我们继续看

就这样以此类推的查下去。。跟文件定位也差不多了

好了。。教程结束

谢谢关看

欢迎菜鸟加 599404 此群学习。。