madcHook的dll逆向简说

本文介绍了一种解决madchook被误报为木马的方法。通过修改其特有字符名称并加密处理,使madchook能绕过杀毒软件的检测。涉及对驱动文件的逆向分析与修改。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

madchook的技术比较成熟和稳定,但是却被木马等程序利用,以至于被许多杀毒软件直接报木马,所以修改madchook内特有字符名称,可以逃脱杀毒软件报毒,与查杀,主要的特殊的字符窜是他的内存映射名称和他的文件名称,但是不能直接修改驱动文件名,否则dll文件无法加载驱动,所以本人经过多次的反复动态调试与逆向分析,发现dll中的特有字符串都被加密了,包括驱动的名称,分析发现加密的方式很简单,就是 用0x55异或了一下,在dll中还备份了一个驱动的文件,如果你把madcHook的dll整个文件用0x55异或一遍,你就会发现很多眼熟的字符窜,比如:madjmap映射等等,还有驱动的名称,还可以发现驱动的文件头的信息,你只要修改了相应的字符窜名称,在异或回去,就可以使用!,当然驱动也要反汇编,改掉默认的映射名称,再重新编译!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值