危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18787926

完全输入表免杀dll移分

大家好,我是逍遥,今天我教大家的内容是——完全输入表免杀dll移位,我就以上兴远控为例。

我们先打开C32。

然后再把上兴远控的配置文件DAT载入到C32里面,用C32搜索含有dll的字符,一般在后面。

找到wsock32.dll后先拷贝下来,然后再用00填充掉。

下面我们找个空白地方把wsock32.dll粘贴上。

记录file offset:000AIF40,保存修改的DAT文件。

接下来是很关键的地方了,大家仔细看,打开LORDPE,载入我们刚刚修改的DAT文件。

单击位置计算器,在偏移量输入我们刚刚记录下来的000AIF40,再单击执行,记录下RVA:

000A9F40。

点击目录,在点击输入表后面第一个键,我们就进入了输入表。

我们找到输入表的最下面,看到了有一个地方的dll为空白。

我们就修改这里的dll的RVA,右键点击dll为空白的地方,再点击编辑,输入我们刚刚记录下来的RVA,再点确定就出现了dll。

保存完毕,测试一下,成功上线。

我们再看一下是否过360,360杀毒、360安全卫士都过了。

顺便提醒大家一下要想做一个免杀木马,光是移输入表是不够的,还要运用其它的一些免杀技术,如:加花指令、加壳等等,才能保证你的木马长久不被杀软所杀。今天的内容到此为止了。

相关推荐