scanport脱壳修改

hwl88618

最近刚刚跳槽，新公司强制安装卖咖啡，我一直用的端口扫描工具ScanPort.exe，被卖咖啡说是病毒，再加上平时也看这软件不顺眼，别的同类软件又都不如这个，所以想自己改改原版软件，打开的时候默认选择的端口是80,139,440-445，线程数10，我的目的很简单，端口改成1-65535，线程数改大，到软件允许的最大值200就行

先是直接用UltraEdit搜文本，搜到的是被压缩了的文本

直接改的话，保存完了运行会报错
od脱壳，不算太难，脱壳的过程中就可以看到完整的文本了

脱壳完了再用ue改，就可以把端口改掉了

改完之后

运行正常，端口改成功了

可是整个过程没找到线程数在哪改的
另外，原版卖咖啡报毒，360不报毒，virscan地址https://r.virscan.org/language/zh-cn/report/7c64ce484e4f220649f9f570411a8f27
修改之后virscan卖咖啡不报毒，360开始报毒，公司装的卖咖啡还是会秒杀，virscan地址https://r.virscan.org/language/zh-cn/report/559bbf52080341b3d14a567a6cadb49a
三个目的只达到了一个
求大佬指点，怎么让卖咖啡不报毒，另外怎么改线程数

已经按大佬的指点修改完了，有需要的自己下载
链接: https://pan.baidu.com/s/1pGZb_TKSax3F4oCC7v1Aig 提取码: j5eh 复制这段内容后打开百度网盘手机App，操作更方便哦

lies2014

改线程数：
搜索：6A 0A 68 EE 03
改第二个数0A为希望的进程数

lies2014

hwl88618 发表于 2021-5-8 09:29
按这个方法算是改完了一半，0A最大能改成7F（10进制127），比这个再大的话，运行起来之后，线程数就是接 ...

3EE是线程数输入控件的资源ID，搜这个数值就可以搜到控件初始化的地方；
要想改成200，原push 0x0A指令只有两个字节，而push 0xC8有5个字节，显然长度不够，需要找一个没有代码的地方跳过去，执行完修改的指令再跳回来，00407CD0处就有一大片空间可以利用。
附件是我改好的，你可以参考一下：
链接：https://pan.baidu.com/s/1ZXShg_mvlmc7PnH5SOgBbQ
提取码：wtmv
复制这段内容后打开百度网盘手机App，操作更方便哦--来自百度网盘超级会员V3的分享

hwl88618

lies2014 发表于 2021-5-7 23:05
改线程数：
搜索：6A 0A 68 EE 03
改第二个数0A为希望的进程数

按这个方法算是改完了一半，0A最大能改成7F（10进制127），比这个再大的话，运行起来之后，线程数就是接近int类型最大值的一个数了，这是代码里把signed char类型强制转换成signed int类型了
另外，为什么要搜这个东西呢，这附近全是乱码啊，道理是啥呢

hwl88618

nedesq 发表于 2021-5-7 22:30
老办法 定位特征码  直接跳转完事

恕小弟愚笨，有教程吗

yuleniwo

这样的端口扫描很简单。如果自己写扫描工具用上iocp都不用那么多线程。

hwl88618

lies2014 发表于 2021-5-8 11:25
3EE是线程数输入控件的资源ID，搜这个数值就可以搜到控件初始化的地方；
要想改成200，原push 0x0A指令 ...

多谢，用你提供的方法修改成功了，但是你这个附件有问题，退出的时候会崩溃
我用你的方法成功把线程改成了200

lies2014

hwl88618 发表于 2021-5-8 16:34
多谢，用你提供的方法修改成功了，但是你这个附件有问题，退出的时候会崩溃
我用你的方法成功把线程改成 ...

我这里没有崩溃，脱壳不通用多半是操作系统导致的

dakele111

hwl88618 发表于 2021-5-8 09:29
按这个方法算是改完了一半，0A最大能改成7F（10进制127），比这个再大的话，运行起来之后，线程数就是接 ...

修改好的放出来，分享一下。