有人找到卡巴的引擎文件了么？

jick117

原帖由 yzt1004 于 2007-5-6 20:19 发表

开发杀软是不可能，不过嫁接引擎可能， 比方说嫁接到AVK上？楼主估计就是这个想法
在此我只是想水一把，同时再次宣传一下Google同学的实力[:26:] Google一把，楼主是何方人物昭然若揭
貌似楼主才过完birthd ...

汗，真的那麽誇張，呵呵，多謝你的祝福，同時偶也囑咐你天天數錢數到手抽筋

PPwangS

原帖由 yzt1004 于 2007-5-6 20:19 发表

开发杀软是不可能，不过嫁接引擎可能， 比方说嫁接到AVK上？楼主估计就是这个想法
在此我只是想水一把，同时再次宣传一下Google同学的实力[:26:] Google一把，楼主是何方人物昭然若揭
貌似楼主才过完birthd ...

悲观吧，，偶是在霏凡不小心看到的，，后来又看到，，是深度的斑斑唉～～
欢迎欢迎。。

你那个对比的是无效的：目前基本上所有win32的程序的刚开始的二进制数据都是一样的，不信可以任意打开文件看下，一个花刺，一个马桶：

jick117

原帖由 PPwangS 于 2007-5-7 01:13 发表


悲观吧，，偶是在霏凡不小心看到的，，后来又看到，，是深度的斑斑唉～～
欢迎欢迎。。

你那个对比的是无效的：目前基本上所有win32的程序的刚开始的二进制数据都是一样的，不信可以任意打开文件看下， ...

昨天偶這裏確實粗心了，確實如你所說，所有win32程式剛開始的二進制數據都是一樣的

当程式運行之前，会首先執行前面这段二進制數據（可能也是進行驗證），以次来判断此程式是否爲win32格式，如果是即執行，如果不是，立即退出

（偶一會上圖來進行證明）

jick117

修改前的autoruns：


查看二進制數：




修改后的autoruns：

jick117

忘了正題了，我們還是繼續討論avp

我的考慮是通過修改卡巴的引擎avp1.ppl，然後加載到avk的卡巴中去，之前的帖子我已經把avk的卡巴引擎avpbase.dll和卡巴7的引擎avp1.ppl發出來了，偶試過，簡單的把avp1.ppl的后綴名修改爲avpbase.dll后，無法成功運行avk，所以現在我還有個考慮就是修改avk的掃描引擎avkscan.dll

這個應該是avkscan.dll加載卡巴引擎的一段：

100106F6   .  68 E8B50310   PUSH AVKScan.1003B5E8                    ;  ASCII "avpbase.dll"
100106FB   .  8D45 F0       LEA EAX,DWORD PTR SS:[EBP-10]
100106FE   .  50            PUSH EAX
100106FF   .  8D45 EC       LEA EAX,DWORD PTR SS:[EBP-14]
10010702   .  50            PUSH EAX
10010703   .  C645 FC 01    MOV BYTE PTR SS:[EBP-4],1
10010707   .  E8 3B4FFFFF   CALL AVKScan.10005647
1001070C   .  83C4 0C       ADD ESP,0C
1001070F   .  50            PUSH EAX
10010710   .  FF75 D4       PUSH DWORD PTR SS:[EBP-2C]
10010713   .  8D4D CC       LEA ECX,DWORD PTR SS:[EBP-34]
10010716   .  C645 FC 02    MOV BYTE PTR SS:[EBP-4],2
1001071A   .  E8 9CC90100   CALL AVKScan.1002D0BB
1001071F   .  8B4D EC       MOV ECX,DWORD PTR SS:[EBP-14]
10010722   .  83C1 F0       ADD ECX,-10
10010725   .  C645 FC 01    MOV BYTE PTR SS:[EBP-4],1
10010729   .  E8 890CFFFF   CALL AVKScan.100013B7
1001072E   .  68 DCB50310   PUSH AVKScan.1003B5DC                    ;  ASCII "avp_io.vxd"
10010733   .  8D45 F0       LEA EAX,DWORD PTR SS:[EBP-10]
10010736   .  50            PUSH EAX
10010737   .  8D45 E8       LEA EAX,DWORD PTR SS:[EBP-18]
1001073A   .  50            PUSH EAX
1001073B   .  E8 074FFFFF   CALL AVKScan.10005647
10010740   .  83C4 0C       ADD ESP,0C
10010743   .  50            PUSH EAX
10010744   .  FF75 D4       PUSH DWORD PTR SS:[EBP-2C]
10010747   .  8D4D CC       LEA ECX,DWORD PTR SS:[EBP-34]
1001074A   .  C645 FC 03    MOV BYTE PTR SS:[EBP-4],3
1001074E   .  E8 68C90100   CALL AVKScan.1002D0BB
10010753   .  8B4D E8       MOV ECX,DWORD PTR SS:[EBP-18]
10010756   .  83C1 F0       ADD ECX,-10
10010759   .  C645 FC 01    MOV BYTE PTR SS:[EBP-4],1
1001075D   .  E8 550CFFFF   CALL AVKScan.100013B7
10010762   .  68 CCB50310   PUSH AVKScan.1003B5CC                    ;  ASCII "avp_io32.dll"
10010767   .  8D45 F0       LEA EAX,DWORD PTR SS:[EBP-10]
1001076A   .  50            PUSH EAX
1001076B   .  8D45 E4       LEA EAX,DWORD PTR SS:[EBP-1C]
1001076E   .  50            PUSH EAX
1001076F   .  E8 D34EFFFF   CALL AVKScan.10005647
10010774   .  83C4 0C       ADD ESP,0C
10010777   .  50            PUSH EAX
10010778   .  FF75 D4       PUSH DWORD PTR SS:[EBP-2C]
1001077B   .  8D4D CC       LEA ECX,DWORD PTR SS:[EBP-34]
1001077E   .  C645 FC 04    MOV BYTE PTR SS:[EBP-4],4
10010782   .  E8 34C90100   CALL AVKScan.1002D0BB
10010787   .  8B4D E4       MOV ECX,DWORD PTR SS:[EBP-1C]
1001078A   .  83C1 F0       ADD ECX,-10
1001078D   .  C645 FC 01    MOV BYTE PTR SS:[EBP-4],1
10010791   .  E8 210CFFFF   CALL AVKScan.100013B7
10010796   .  68 BCB50310   PUSH AVKScan.1003B5BC                    ;  ASCII "avp_iont.dll"
1001079B   .  8D45 F0       LEA EAX,DWORD PTR SS:[EBP-10]
1001079E   .  50            PUSH EAX
1001079F   .  8D45 E0       LEA EAX,DWORD PTR SS:[EBP-20]
100107A2   .  50            PUSH EAX
100107A3   .  E8 9F4EFFFF   CALL AVKScan.10005647
100107A8   .  83C4 0C       ADD ESP,0C
100107AB   .  50            PUSH EAX
100107AC   .  FF75 D4       PUSH DWORD PTR SS:[EBP-2C]
100107AF   .  8D4D CC       LEA ECX,DWORD PTR SS:[EBP-34]
100107B2   .  C645 FC 05    MOV BYTE PTR SS:[EBP-4],5
100107B6   .  E8 00C90100   CALL AVKScan.1002D0BB
100107BB   .  8B4D E0       MOV ECX,DWORD PTR SS:[EBP-20]
100107BE   .  83C1 F0       ADD ECX,-10
100107C1   .  C645 FC 01    MOV BYTE PTR SS:[EBP-4],1
100107C5   .  E8 ED0BFFFF   CALL AVKScan.100013B7
100107CA   .  8D45 CC       LEA EAX,DWORD PTR SS:[EBP-34]
100107CD   .  50            PUSH EAX
100107CE   .  51            PUSH ECX
100107CF   .  8BC4          MOV EAX,ESP
100107D1   .  8965 E0       MOV DWORD PTR SS:[EBP-20],ESP

但是偶也郁悶，當時滙編沒學好，無法進行下一步了…………
發上來大家共同探討下

PPwangS

基本没有指望了，偶连加个网页地址，加个对话框还没弄白。。。

去别的地方看看吧～～
应该可以的。。
不过难度太大～～～～～～～

nmare

来看看
学了好多啊
高兴&看不太懂

沸沸

楼主莫非想把卡巴的引擎改造成双引擎？

jick117

原帖由 沸沸 于 2007-5-7 14:27 发表
楼主莫非想把卡巴的引擎改造成双引擎？

不是的，我想把卡巴最新的引擎集成到AVK中去，也可以讓卡巴3.5版用上卡巴7.0的引擎

Cye3s

改到AVK....
如果新引擎己经重写过函数名,或是弃用了一些旧函数
改动的工作量就大了...全汇编啊...就算你能弄到VC源码也得看段时间,呵呵