PcShare可算国内最优秀的远程控制软件之一,其特有的驱动级隐藏技术让PS的隐蔽性有了质的提升。可再好的隐藏也必须先过安装这一关,由于杀软的特征码库中早已有PS的代码,所以在开监测的情况下,当服务端释放*.D1L和*.SYS两个文件时杀软会报警,因此没法儿安装。这时应该做什么?当然是免杀。加壳是没用的,要改特征码。改文件和内存特征码在前几期的黑防都已介绍过,照旧修改就可以。关键PS中有个驱动程序PcHide.SYS,它的特征码又应该怎么修改呢?这里就和大家交流一下含驱动的程序特征码修改,使用的杀软是最新的KV2006,PS使用的是黑基下载的黑盟玫瑰破解完全版。(用盗版只是测试,大家多支持正版。)其它工具包括特征码修改器CCLv2.7.1、IDA pro 4.7、OllyDbg、PeInfo、IceSword及UltraEdit。 
1.驱动程序PcHide.SYS的修改
上来就是重头戏,先来修改驱动的文件特征码吧。第一步是用CCL确定其特征码位置,CCL的使用过程就不再赘述了,直接用自动定位功能,检测大小为10,检测范围为text既代码段。直接看定位结果如下:
0001 000003DC 0000001F 000003FB 
0002 000003FC 0000003E 0000043A 
0003 00001C78 0000001F 00001C97 
0004 00001C98 0000003E 00001CD6 
0005 00001CD7 0000003E 00001D15 
看看结果,聪明的你应该发现虽然有5处数据,但前2段和后3段分别相连,也就是说PcHide.SYS总共只有两处特征码,分别在000003DC到0000043A和00001C78到00001D15。像这样两处相连而又相隔较远的情况,一般说来两处必须都要修改。(在结果较多且较分散时,判断起来会麻烦一点,所以我给CCL加了个功能,可以很快确定至少要修改几处,修改哪几处。将在下文介绍。)
下面是IDA反汇编,看代码。先来看3DC处。看来不是汇编指令。没关系࿰