madchook的技术比较成熟和稳定,但是却被木马等程序利用,以至于被许多杀毒软件直接报木马,所以修改madchook内特有字符名称,可以逃脱杀毒软件报毒,与查杀,主要的特殊的字符窜是他的内存映射名称和他的文件名称,但是不能直接修改驱动文件名,否则dll文件无法加载驱动,所以本人经过多次的反复动态调试与逆向分析,发现dll中的特有字符串都被加密了,包括驱动的名称,分析发现加密的方式很简单,就是 用0x55异或了一下,在dll中还备份了一个驱动的文件,如果你把madcHook的dll整个文件用0x55异或一遍,你就会发现很多眼熟的字符窜,比如:madjmap映射等等,还有驱动的名称,还可以发现驱动的文件头的信息,你只要修改了相应的字符窜名称,在异或回去,就可以使用!,当然驱动也要反汇编,改掉默认的映射名称,再重新编译! |