完美国际29000后门修复办法,欢迎各位验证!!!
1,首先 加载要改的两个程序我IDA已经加载了gdeliveryd
2 点击一下IDA的左边项目这个意思是在左边这里面搜索东西准备
3 点击左边后搜索 DomainDaemon::Process
4 搜索到后 双击他 右边会跳到这个函数的首地址
5 我们可以看到首地址是32C322 得到了文件首地址 我们开始看长度
6 这个地方代表的是这个函数的代码长度 他是16进制的
7 使用010编辑器打开gdeliveryd
8 我们先核实一下有问题没有没问题 我们就开始注释他
9这个覆盖字节就是选16进制 按照我这视频里面的方式填入你修改文件的开始地址和大小地址就行了 还有右边的字节值 在16进制哪写入90就可以了 然后保存
glinkd函数定位办法
因为glinkd直接搜索函数名字是搜不到的 所以只能通过日志来定位
在后门程序里面有一个日志DomainLogin failed这个提示 所以根据这个提示来定位
我们要在string里面搜 所以先在string里面点一下 然后搜索DomainLogin failed
搜到后就双击他 就会跳转
; DATA XREF: sub_811F8DC+627↑o 他下面有一个这个数据 代表的是 函数sub_811F8DC这个函数的627位置在调用这个日志
所以 就是函数sub_811F8DC 是后门程序 后面就跟gde和gdb的改法一样了 因为找到了函数的名字 就能找到首地址和函数大小了
点击左边 左边是函数名字列表点击后搜索sub_811F8DC
函数找到了 然后我们双击函数 就来到了函数的首地址
他的文件地址是D78DC 然后大小是A0D 后面的注释办法用010来 跟gde和gdb的注释办法一样了 就不再讲了
该技术由:完美彭于晏提供分享
页:
[1]