最近研究WPE过非法,包括进程隐藏,驱动保护,360..以及其他外部方法...
就是觉得太麻烦,进程隐藏兼容性不好,所以尝试改软件过非法,把软件的MD5更改后,任然无济于事,但是发现不是立刻报非法,封3天,而是非法重启,上号后不封。
所以TP不是根据简单的MD5检测非法软件存在的,而是特征码,特征码包括较多,一般最简单的就是软件加壳就能把特征码打乱,但是好像无济于事,继续非法,那么就对比了一下加壳前后的变化,发现WPE始终有线程启动,启动后的入口地址不会发生变化。
所以TP检测推测应该和这个线程有关,至于WpASpy.dll,大家随意加壳吧,不过这个DLL有些怪,TTP,UPX...加上都无法调用,不过大家可以尝试,SE是可以的。
其实综上所述,TP也只能在这个线程上动手脚了,(至于你说的软件名,图标,字符串,这些都很容易,直接pass),说以恳请大牛看看这个线程怎么办,怎样更改可以过检测???
就是觉得太麻烦,进程隐藏兼容性不好,所以尝试改软件过非法,把软件的MD5更改后,任然无济于事,但是发现不是立刻报非法,封3天,而是非法重启,上号后不封。
所以TP不是根据简单的MD5检测非法软件存在的,而是特征码,特征码包括较多,一般最简单的就是软件加壳就能把特征码打乱,但是好像无济于事,继续非法,那么就对比了一下加壳前后的变化,发现WPE始终有线程启动,启动后的入口地址不会发生变化。
所以TP检测推测应该和这个线程有关,至于WpASpy.dll,大家随意加壳吧,不过这个DLL有些怪,TTP,UPX...加上都无法调用,不过大家可以尝试,SE是可以的。
其实综上所述,TP也只能在这个线程上动手脚了,(至于你说的软件名,图标,字符串,这些都很容易,直接pass),说以恳请大牛看看这个线程怎么办,怎样更改可以过检测???
