帖子主题: 上兴DAT在卡巴的两处奇怪特征『求救版主详细解答』

我是只菜鸟 ，版主说的我听不懂，渴求斑竹详细的解答一下 ，因为这处特征码已经困惑我好几天了

上兴08sp30722  过卡巴  
[特征] 0009938E_00000002   00499F8E  
[特征] 0009AD95_00000002   0049C795

第二处没有找到调用的地址   望斑竹指明一下是哪里调用的！ 我到现在还没有找到哪里调用的 忽忽！ 问斑竹好几次我都不好意思！不过我还是没搞懂 ～郁闷～


保护起来的特征码 也是类似的
测试过好多方法 都是没法运行  不知道怎么修改  高手帮忙一下


第一次来黑防  发帖子 哪里不对的 见谅

第一处 C32里




第一处 OD里




第二处 C32里


第二处 OD里


还真找不到图片 怎么上传的  我链接的在其他论坛发的求救帖子的图片  这才发上来有点笨


我的QQ：529793482              我比较菜 最近几个月才自学免杀的  还望回答的详细一点 或者留个QQ。 谢谢！
这里是区段



http://www.3800hk.com/Soft/yckz/24070.html

上兴08sp30722   下载地址       黑防哪里下载 我不知道 嘿嘿

问斑竹好几次我都不好意思！不过我还是没搞懂 ～郁闷～

看了下，特征码在数据段的。 这个修改很多方法。 一般像这种特征码查杀，直接一个加密就可以过了。 黑防有相应的课程——巧用算法加密特征码，或者内存动态恢复都行。

  再或者你可以移动其数据的地址，然后找到其调用的地址修改。。
  
  那些比较基础的步骤，我就懒得再去说了。。  自己可查阅资料，或者可以考虑加入VIP学习。。
  

可是第二处特征码在OD里没有4A4F6C 这个地址的

             我看这个好奇怪啊第二处C32里             6C4F4A  这里是第二处特征码
                                                      403A47
                                               8C3347
                                               7C4F4A 隔两个加了1特征码 6C4F4A 最左边加了1
                                               683A47
                                               CC3347
                                               8C4F4A 这个也是 最左边加了1
  第二处 在OD里没有这个地址 无法找到调用的地方 不知道怎么办
请版主看一下

简单的xor加密就可过了。   如果想复杂点，还可以在解密指令中添加点花指令代码。。

晕，直接找调用0049c794。。。ollydbg里找不到，可以换机器码找啊。。
例如直接搜索这个地址的机器码。。

不明白 郁闷

为什么还是找不到呢 郁闷
C32里搜索94c74900  没找到 偶

一个是文件地址
一个是内存地址
当然不一样