|
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\dd\桌面\ssssss.exe
特征码 物理地址/物理长度 如下:
[特征] 0000081B_00000002
特征码分布示意图:
[--------------------------------------------------]
[-------------M------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
转换成内存地址如下: 00400817 . 57 push edi
00400818 > 6A 01 push 1
0040081A . 57 push edi
0040081B FF75 FC push dword ptr [ebp-4]
0040081E . 6A 00 push 0
00400820 . 56 push esi
00400821 . FF96 E5000000 call dword ptr [esi+E5]
红色部分为特征码所在地址。
修改后如下: 00400817 . 57 push edi
00400818 > 6A 01 push 1
0040081A . 57 push edi
0040081B 8F45 FC pop dword ptr [ebp-4]
0040081E . 6A 00 push 0
00400820 . 56 push esi
00400821 . FF96 E5000000 call dword ptr [esi+E5]
仍然在诺顿所有监控全开的情况下,运行文件。这防火墙没有任何提示,而且,木马已经上线了。
图15
扫描系统的时候,结果没有扫出任何风险。 |
