本帖最后由 云外归鸟 于 2024-1-25 23:27 编辑
前言:
白月的目标和宗旨是完全、彻底的解决,长久以来困扰易语言用户的误报问题。
为正常的易编软件免除误报的烦恼。做外挂木马的,就不在此列了,没人会拖着一个庞大的核心库,做木马。做这种东西的,请找白月的黑兄弟。
白月的避免误报原理:
将易语言编译的程序的PE结构,回归到正常的PE结构。支持库扩展名改回DLL。不会再有让PE结构分析者有异样感。
不再有隐晦,隐含让人怀疑的操作,让懒惰、弱智的特征查毒引擎看到正常的结构,让智能的查毒引擎看到可分析的机器码。
具体方案:
将普通编译的易代码重新链接成三种形态的程序(可供选择):
1、MFC壳,其实是调用MFC库的共享版:MFC42.dll,C函数库调用动态链接库:msvcrt.dll
2、C语言壳,C函数库是链接整合静态C函数库:LIBCMT
3、无壳:C函数调用动态链接C函数库:msvcrt.dll
所有DLL命令都放到PE结构的IAT(导入动态库函数表)包括核心库命令,暴露给分析PE结构的查毒引擎,增加透明度。
链接器就用易公司提供给静态库编译的工具vc98linker
对于支持库的处理:
核心库结构全新整改,暴露所有库命令名到导出表,改名为:wmvert.dll
其它支持库分为两类处理:
一、所有窗口组件的支持库,内部结构不变,只是改扩展名成dll,发布时一起带上。
二、大部分的功能支持库,都链接整合到白月程序里,不用带上支持库了。
可以链接整合的支持库列表:
多线程支持库 EThread.fne
操作系统界面功能支持库 shell.fne
数据操作支持库一 dp1.fne
网络通讯支持库 sock.fne 注意:该支持库使用前需要加初始化WSOCK的API,或者调用核心库的网络通信类的命令,会在内部先初始化
端口访问支持库 portio.fne
控制台操作支持库 console.fne
XP风格界面库 xplib.fne
XML解析支持库 EXMLParser.fne
网络通讯支持库二 ERawSock.fne 注意:该支持库使用前需要加初始化WSOCK的API,或者调用核心库的网络通信类的命令,会在内部先初始化
远程服务支持库 Exmlrpc.fne
位图操作支持库 BmpOperate.fne
通用对象支持库 commobj.fne
数据结构支持库 EDataStructure.fne
进程通讯支持库 EInterProcess.fne 注意:只能选C/C++壳编译
保密通讯支持库 ESSLayer.fne WSACleanup() 注意:该支持库使用前需要加初始化WSOCK的API,或者调用核心库的网络通信类的命令,会在内部先初始化
互联网服务支持库 isapi.fne
数值计算支持库 eCalc.fne
邮件接收支持库 pop3.fne 注意:该支持库使用前需要加初始化WSOCK的API,或者调用核心库的网络通信类的命令,会在内部先初始化
正则表达式支持库 RegEx.fne
网络传送支持库 downlib.fne 注意:该支持库使用前需要加初始化WSOCK的API,或者调用核心库的网络通信类的命令,会在内部先初始化
文字编码转换支持库 cncnv.fne
Sqlite数据库支持库 SqliteDB.fne
BT下载支持库 btdownload.fne 注意:只能选C/C++壳编译
Sqlite3数据库支持库 sqlite3.fne
图像格式转换支持库 eImgConverter.fne
编码转换支持库 iconv.fne
MySQL支持库 mysql.fne 注意:只能选C/C++壳编译
DirectX2D支持库 EdirectX.fne 注意:只能选C/C++壳编译
应用接口支持库 eApi.fne 注意:只能选C/C++壳编译
互联网支持库 internet.fne 注意:只能选C/C++壳编译
OPenGL支持库 OPenGL.fne 注意:只能选C/C++壳编译
Java支持库 Javalib.fne 注意:只能选C/C++壳编译
正则表达式支持库(Deelx版) DeelxRegEx.fne 注意:只能选C/C++壳编译
特殊功能支持库 spec.fne
以上支持库如果不要整合链接,就将同名的LIB文件,从白月库目录:wLIB里移除,就会自动转成原来调用DLL支持库的模式,不加入重新链接编译。
特别注意:白月的静态库,与易语言的静态库不通用!!!第三方的静态支持库要给白月链接使用,必须经过接口改造才可以。
总结:
白月为老吴的二十年以来的扰乱、加扰乱的反误报的尴尬之路,画上了完美的句号。老误终于可以洗白了!
最后的易语言版本!
白月的使用:
下载压缩包,解压到一个文件夹,就可以使用了,不必覆盖其它版本的易语言,它本身就是一个完整的易语言5.95破解版,只是把没用到静态库和例程源码删除了。易语言是允许多版本共存的。
运行这个文件夹里的e.exe,显示如下就是白月的编辑器:
点击菜单:编译->白月设置 出现如下窗口:
编译类型是可以变换外壳,生成不同的结构,让杀软不容易记住特征。如果出现链接失败的,可以换一个模式再编译,可能会通过。
每次都询问是否复制白月运行时库和用到的支持库DLL到相同目录(方便打包发布)
勾选之后,在编译成功会出现以下列表,可以忽略易原来的复制支持库提示。
设置链接器路径:
使用易官方提供的vc98linker.zip,原本是用于静态编译,如果你没有安装,就在下面下载。解压到一个目录里,然后设置路径:
这个路径下有三个子目录:LIB、BIN、MFC 为正确路径
白月3.2更新内容:
一、准确判断“特殊功能支持库”spec.fne是否被调用,并正确转入全静态编译模式。
二、修改白月全静态编译模式下,核心库注册表操作命令找不到相关函数,无法通过编译的BUG。
白月3.1更新内容:
调试时不再需要易语言原版本,完全与易语言原版划清界线。
白月3.0更新内容:
一、增加完全静态编译模式,类似于黑月,具体看论坛相关版块的说明。
二、将用到的支持库列表加密,查毒引擎静态分析时,是看不到支持库信息文字,运行时再解密。完全静态编译模式则是将列表全部清零。将最后的易语言特征完全抹除。
三、特殊功能支持库spec.fne的支持静态合成,不管传闻哪些功能被核心库替代了。
四、支持库配置和系统配置与其它版本的易分离,其它易版本安装的插件与白月无关了。还可以单独为白月编辑器设置配色,从外观上区别开来。
五、更改了关于窗口为白月的。
白月2.0更新内容:
一、同步更新了易语言5.95版的核心库功能:
5.95版相对5.93版更新内容:
1. 画板的"画图片"方法现在支持绘制半透明png图片;
2. 打印机的"画图片"方法增加了一个"是否支持透明图片"参数,用作支持绘制半透明png图片;
3. 标签组件的"效果"属性新增"透明"方式(注意在设计时无效),用作配合使用半透明的png图片底图;
4. 解决了程序在二级对话框里面打开系统对话框(譬如文件打开对话框)后切换到其它程序后再切换回来假死的问题;
5.系统IDE进行了一些其它方面的改进.
二、修改MFC模式的DLL连接参数,解决部分DLL编译出来后,无法正常运行的问题。
三、修改易核心库创建的隐藏窗口类名:_EL_HideOwner 为 HideWhiteMoon。这也是被杀软锁定的最明显的易特征。
四、修改了编译的程序名不能有空格的BUG。
白月洗白QQ群:928949665 交流全国各地的洗白业务的经验和消费水平价格。
点击网站底部在线咨询作者,注册费用与你当地的洗浴价格相同:15~200元
白月3.2下载
VC6.0连接器下载
|
发表于 2023-11-12 20:01:04
收藏
支持
反对
发表于 2023-11-12 22:00:49
