|
|
Xmaker
QQ:78***71 QQ群:47***78
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
注意:该教程里用的ExeBundle.exe示范文件是个软件捆绑软件,没有病毒、无木马!
在“将你的壳伪装成VC程序I_让PEiD死翘翘”里的ExeBundle.exe程序由MASM32 / TASM32改成Microsoft Visual C++ 5.0了,现在也具有躲避杀毒软件的能力了。
但,还可以继续修改,加入其他指令,使其更好的躲避杀毒软件(就是用花指令)!因为,网上有这类教程所以这里就只是简单吹吹(思路是一样的,你可以换成不一样的代码!)...
用这种方法加密后的木马,就是所谓的变种了,所有杀毒软件都无法查杀。即便能杀,你还可以进行重复修改,成为无穷变种!
*****************************************************
现在用OllyDbg对ExeBundleVC++5.exe进行代码修改!
在原来的基础加了下面这段代码!
<<<<<<<要注意jmp的跳转!>>>>>>>>>>>
这里只需记住: 00***01AC4是最后要跳转的地址
ExeBundleVC++5kill.exe这个文件已经添入了下面这段代码!!!!
somewhere:
nop /"胡乱"跳转的开始...
jmp 下一个jmp的地址 /在附近随意跳
jmp ... /...
jmp 原入口的地址 /跳到原始oep
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
新入口: push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
loop somewhere /跳转到上面那段代码地址去!
木马文件的修改和查看请看"将你的壳伪装成VC程序I_让PEiD死翘翘".这里就不重复了!
你可以看到两个文件的区别!!!!!!!!!!!!!!!!!!!!
88我该睡觉了。。。
02/19/2005
|
|
发表于 2009-8-21 23:30:08