|
|
前言:
白月的目标和宗旨是完全、彻底的解决,长久以来困扰易语言用户的误报问题。
为正常的易编软件免除误报的烦恼。做外挂木马的,就不在此列了,没人会拖着一个庞大的核心库,做木马。
白月的避免误报原理:
将易语言编译的程序的PE结构,回归到正常的PE结构。支持库扩展名改回DLL。不会再有让PE结构分析者有异样感。
不再有隐晦,隐含让人怀疑的操作,让懒惰、弱智的特征查毒引擎看到正常的结构,让智能的查毒引擎看到可分析的机器码。
具体方案:
将普通编译的易代码重新链接成三种形态的程序(可供选择):
1、MFC壳,其实是调用MFC库的共享版:MFC42.dll,C函数库调用动态链接库:msvcrt.dll
2、C语言壳,C函数库是链接整合静态C函数库:LIBCMT
3、无壳:C函数调用动态链接C函数库:msvcrt.dll
所有DLL命令都放到PE结构的IAT(导入动态库函数表)包括核心库命令,暴露给分析PE结构的查毒引擎,增加透明度。
链接器就用易公司提供给静态库编译的工具vc98linker
对于支持库的处理:
核心库结构全新整改,暴露所有库命令名到导出表,改名为:wmvert.dll
其它支持库分为两类处理:
一、所有窗口组件的支持库,内部结构不变,只是改扩展名成dll,发布时一起带上。
二、大部分的功能支持库,都链接整合到白月程序里,不用带上支持库了。
白月插件已经集成到了易语言5.95版的特别版里,与易的其它版完全分离了,互不干扰,解开就可以用。
白月3.1版下载:http://www.ywgn.net/WhiteMoon3.1.zip
白月编译的程序样本示例.zip
(1.88 MB, 下载次数: 216)
|
评分
-
查看全部评分
|
粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173
发表于 2023-11-28 23:10:06
主题置顶卡
沉默卡
变色卡
扫一扫,关注易界动态