scanport脱壳修改
本帖最后由 hwl88618 于 2021-5-10 08:59 编辑最近刚刚跳槽,新公司强制安装卖咖啡,我一直用的端口扫描工具ScanPort.exe,被卖咖啡说是病毒,再加上平时也看这软件不顺眼,别的同类软件又都不如这个,所以想自己改改原版软件,打开的时候默认选择的端口是80,139,440-445,线程数10,我的目的很简单,端口改成1-65535,线程数改大,到软件允许的最大值200就行
先是直接用UltraEdit搜文本,搜到的是被压缩了的文本
直接改的话,保存完了运行会报错
od脱壳,不算太难,脱壳的过程中就可以看到完整的文本了
脱壳完了再用ue改,就可以把端口改掉了
改完之后
运行正常,端口改成功了
可是整个过程没找到线程数在哪改的
另外,原版卖咖啡报毒,360不报毒,virscan地址https://r.virscan.org/language/zh-cn/report/7c64ce484e4f220649f9f570411a8f27
修改之后virscan卖咖啡不报毒,360开始报毒,公司装的卖咖啡还是会秒杀,virscan地址https://r.virscan.org/language/zh-cn/report/559bbf52080341b3d14a567a6cadb49a
三个目的只达到了一个
求大佬指点,怎么让卖咖啡不报毒,另外怎么改线程数
已经按大佬的指点修改完了,有需要的自己下载
链接: https://pan.baidu.com/s/1pGZb_TKSax3F4oCC7v1Aig 提取码: j5eh 复制这段内容后打开百度网盘手机App,操作更方便哦 改线程数:
搜索:6A 0A 68 EE 03
改第二个数0A为希望的进程数 hwl88618 发表于 2021-5-8 09:29
按这个方法算是改完了一半,0A最大能改成7F(10进制127),比这个再大的话,运行起来之后,线程数就是接 ...
3EE是线程数输入控件的资源ID,搜这个数值就可以搜到控件初始化的地方;
要想改成200,原push 0x0A指令只有两个字节,而push 0xC8有5个字节,显然长度不够,需要找一个没有代码的地方跳过去,执行完修改的指令再跳回来,00407CD0处就有一大片空间可以利用。
附件是我改好的,你可以参考一下:
链接:https://pan.baidu.com/s/1ZXShg_mvlmc7PnH5SOgBbQ
提取码:wtmv
复制这段内容后打开百度网盘手机App,操作更方便哦--来自百度网盘超级会员V3的分享
lies2014 发表于 2021-5-7 23:05
改线程数:
搜索:6A 0A 68 EE 03
改第二个数0A为希望的进程数
按这个方法算是改完了一半,0A最大能改成7F(10进制127),比这个再大的话,运行起来之后,线程数就是接近int类型最大值的一个数了,这是代码里把signed char类型强制转换成signed int类型了
另外,为什么要搜这个东西呢,这附近全是乱码啊,道理是啥呢
nedesq 发表于 2021-5-7 22:30
老办法 定位特征码直接跳转完事
恕小弟愚笨,有教程吗 这样的端口扫描很简单。如果自己写扫描工具用上iocp都不用那么多线程。 lies2014 发表于 2021-5-8 11:25
3EE是线程数输入控件的资源ID,搜这个数值就可以搜到控件初始化的地方;
要想改成200,原push 0x0A指令 ...
多谢,用你提供的方法修改成功了,但是你这个附件有问题,退出的时候会崩溃
我用你的方法成功把线程改成了200 hwl88618 发表于 2021-5-8 16:34
多谢,用你提供的方法修改成功了,但是你这个附件有问题,退出的时候会崩溃
我用你的方法成功把线程改成 ...
我这里没有崩溃,脱壳不通用多半是操作系统导致的 hwl88618 发表于 2021-5-8 09:29
按这个方法算是改完了一半,0A最大能改成7F(10进制127),比这个再大的话,运行起来之后,线程数就是接 ...
修改好的放出来,分享一下。