先看下我的方案:我们要处理的文件一共有5个,分别
→HOOK.dll④
H_Client.exe Setup.exe → MAINDLL
① ② ③ → KEY.dll⑤
-----------------------------------------------------------------
我再来给大家讲讲我怎样分别对待这些文件:
H_Client.exe 用 木马控制端免杀器.rar ,既可以免杀,又自己指定一个密码,避免木马被他人
盗用。
HOOK.dll 和 KEY.dll 体积小 用变形Morphine2.7加壳就可以免杀,方便实用。
MAINDLL 有800多kb 要是偷懒也用 Morphine2.7 加壳免杀的话,做出来的服务端会有900多kb,
所以我用压缩效果比较好的北斗星.exe先加壳,再给它加道花指令,ok。
Setup.exe 就好办了,它的体积也不大,我们可以有很多选择,用变形Morphine2.7加壳和
用北斗星.exe先加壳,再给它加道花指令来免杀效果都是非常好的。不过昨天强哥给了我一个好壳
我就先试试效果吧,嘿嘿!~F.S.T驱动壳.exe 闪亮登场。
----------------------------------------------------------------
下面我们开始,先把 Setup.exe 里面的 3个dll都导出来。MAINDLL 导出来了,命名为1.dll
里面的2个小dll也导出来了, 分别为key.dll 和 hook.dll 。
来先把HOOK.dll 和 KEY.dll 用变形Morphine2.7加壳免杀。加壳完成,用杀毒软件
杀一下看看效果怎么样。大家注意我的杀毒软件都是正版的,而且都是最新的病毒库,嘿嘿。
先用kv 试下吧,ok 了。瑞星通过,昏 让金山k 掉了,记得昨天还不杀的。
不过也没有什么啦,我们只要再给它加道花指令就可以免杀了,卡巴也通过了。
看来是 4个 过3个,呵呵!~
好了,我们再把 2个小dll导入MAINDLL.dll,给它免杀,我用压缩效果比较好的北斗星.exe先加壳,再给它加道花指令,ok。
看看现在杀不杀,加壳以后是2杀,2不杀,有意思啊, kv 和卡巴 杀,瑞星和金山不杀。
杀毒软件真的是各有所长,各有所好。 开始给加壳后的MAINDLL.dll 加花指令。
哦,对了。我还要给大家演示功能较多加花指令的方法,大家更我来。这里需要一个
增加区段的工具 zeroadd.exe ,hao|sha 是我自己定义的区段名,100 是区段的大小。
好了,添加成功,我们来看一下,多了一个 hao|sha2的区段吧。等下我们就到这里写
花指令。
花指令:
VC++ 5.0
PUSH EBP
MOV EBP,ESP
PUSH -1
push 515448
PUSH 6021A8
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
jmp 00408C0F
00950647 入口地址
再找我们的 hao|sha2的地址,点一下m ,hao|sha2的地址是009b6000,我们就到 009B6030 写花指令吧。
009B6030 新入口地址
接下来要把 009B6030 改为新入口地址
原 000E0647 基地 00400000
现在我们要算一下,这个新入口要怎么写 没写16进
00950647 - 00400000 - 000E0647 = 470000 我们要的差
009B6030 - 00400000- 470000 = 146030 我一直是这样算的,也不知道
科学不,呵呵,反正这个没有人教。 试下看可以不 ,地址是改对了,好象
花指令没有写好,我们来检查一下我昏, 少写一个push ebp,再来。
Microsoft Visual C++ ,好了,修改成功,我来杀一下。
呵呵 过了3个,就让卡巴给杀了, 再不加几道话指令就可以免杀了,
我们不耽误时间了来弄一下,exe。先把 MAINDLL.dll 导回Setup.exe 去,再免杀。这个加3层壳
好象不行,我们换个。我*,这个壳果然是强壳,4个杀毒软件一个都不杀它,呵呵。大家看清楚,嘿嘿。