众所周知pcshare的驱动级组件pchide.sys一直以难定位,难修改而闻名

经过两周的努力,本人终于将这一难题攻克!

技术信息可以透露一些,首先选择的对象是卡巴

卡巴采用了一种技术使我们的CCL定位十分的困难,我称之为复合特征码,应该是一种新产物

网上尚不能找到相似的教程,且针对SYS组件,还是一个分主特征和辅特征的结构

网上普遍定位了三处至四处,也因改后蓝屏问题不断

但是如果了解汇编的流程及程序运行的原理,还是可以进行修改的

下面是其中两处的修改:

000003A0    00000040    000003E0//!! (1)
大小写替换法
把D:\PcShare改为D:\pCsHaRE\

PEEDITOR 修正测试
成功隐藏
========================================================
定位:
00000400    00000080    00000480//!!(2-1)   
000004C0    00000020    000004E0//!!(2-2)
原码:
000104C0:  85FF                       TEST EDI, EDI
000104C2:  74 7B                      JE SHORT 0001053F
000104C4:  56                         PUSH ESI
000104C5:  57                         PUSH EDI
000104C6:  E8 CFFFFFFF                CALL 0001049A
000104CB:  68 44646B20                PUSH 206B6444//!!二号特征码改为jmp 000122DE
000104D0:  68 08080000                PUSH 808
000104D5:  6A 01                      PUSH 1
000104D7:  FF15 18030100              CALL NEAR [DWORD DS:10318]
000104DD:  8BF0                       MOV ESI, EAX
000104DF:  8D45 FC                    LEA EAX, [DWORD SS:EBP-4]
000104E2:  50                         PUSH EAX
000104E3:  68 00040000                PUSH 400
000104E8:  56                         PUSH ESI
000104E9:  57                         PUSH EDI
000104EA:  66:C746 02 0008            MOV [WORD DS:ESI+2], 800
000104F0:  FF15 14030100              CALL NEAR [DWORD DS:10314]

增加代码:
000122DE:  68 44646B20                PUSH    206B6444
000122E3:  E9 E8E1FFFF                JMP     000104D0
================================================

很遗憾还不能发布,发布就会被杀,这个道理谁都知道

但事实就是事实,我的朋友和管理员们都试过了,具备隐藏功能,13号的卡巴不叫唤

有些人会失望,有些人会骂吧.....

CCL定位,C32ASM修改,PEDITOR做checksum修正

手工实现是完全可行的

告诫那些盲目相信软件免杀,加壳免杀的朋友

手工才是根本的方法和长久之计

方法会在华夏的免杀班里具体讲解(广告嫌疑)

成品会提供给作者,给"正版"VIP会员使用

希望可以为国产软件做一点贡献

感谢CCTV,MTV,PSTV,华夏,及各大网站

感谢我的学生candy的鼓励,把好的信息及时发送给我,没有你的支持和帮助,我是不可能坚持到现在的
感谢冰雨提供的checksum,从根本上解决了改SYS文件的问题
感谢我的女朋友牺牲了和她一起出去玩的时间

仍在努力的朋友,加油!!