危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18787874

免杀捆绑轻松搞定

随着人们安全意识和软件防护能力的提高,通过网页木马或优盘来传播病毒的方式已经逐渐的被淘汰了,随之而来的传统的文件捆绑方式却再次赢得了黑客的喜爱,但是无论我们采取何种方法进行传播,对木马进行免杀都是其中不可或缺的一个环节。今天危险漫步就给大家推荐一款名为PETotaI的小工具,它可以轻松的完成免杀和捆绑的所有操作。

一,木马的免杀

首先我们从网上下载最新版本的PETotal软件,解压后运行文件夹中的PETotal文件,接着点击“文件”输入框中的选择按钮,这样就可以在弹出的浏览窗口中选择想要进行免杀操作的木马程序了。添加完毕后我们可以看到PETotal自动分析出了木马程序的相关信息,包括文件头、数字签名、等。与此同时,窗口中的“提取资源”和“加花免杀”等选项也都可以使用了。

由于我们就是打算进行木马免杀,所以这里就点击“加花免杀”按钮,在弹出的窗口中就可以进行相应的操作了。PETotal为用户提供了三种不同添加花指令的方式,分别为“添加对话框”、“舔加花指令”和“添加空白段”。我们首先在“Sectiorz称”和“Section大小”选项中随意的设置一个相应的Section名称和太小,然后在“消息内容”输入中随意输入一段自己喜欢的文字信息内容,接下来点击窗口中的“添加对话框”命令,这样PE To tal很快就会提示修改成功。当我们运行木马程序后,首先会弹出一个对话框窗口而窗口内容正好就是“消息内容”中设置的信息。

如果我们选择的是“添加花指令”这种方式,就需要在“花指令”输入框中输入需要的花指令,如果不进行任何花指令的输入操作,那么PETotal自动添加默认的花指令,这时我们只需要点击一下“添加花指令”按钮,就可以在“结果”中看到添加成功的提示,同时还会提示找们木马程序新的人口点是00007000。这时我们再使用PEID进行检测,就会发现提示的为Nothing found。如果大家有比较好的动手能力,那么也可以点击“添加空白段”按钮,成功之后在“修改入口点”点击“修改”按钮即可。最后记住新的和老的的入口点地址,然后使用诸如OIlyICE等第三方工具进行代码的修改即可。

二,木马的捆绑

完成了木马程序的免杀,那么接下来就是如何进行文件捆绑了,首先返回到PETotal软件的主界面,点击窗口中的“文件捆绑”,在“选择绑定目标文件”选项后面点击选择按钮,在弹出的浏览窗口中选择一个可以伪装木马的文件,我选择的是系统中最常见的记事本程序。接下来在“选择想要隐藏的文件(目前只支持隐藏一个文件)”列表中添加想要进行捆绑隐藏的程序文件,也就是刚才免杀成功的木马程序。由于PETotal软件没有设置相应的添加命令,所以直接通过鼠标拖动到窗口列表里面就可以了。

除此之外,PETotal还可以设置生成文件的动作,包括“释放隐藏的文件到硬盘”和“在内存中运行隐藏的文件”,不过这两个动作只对绑定文件为PETotal程序文件的时候才有效。设置完毕后点击“确定”按钮,软件就会要求我们选择生成文件的保存路径,随意设置一个路径后就可以看到捆绑生成的文件了。当用户打开生成的绑定文件,如果选择了“在内存中运行隐藏的文件”,那么目标文件就会和隐藏文件同时打开运行,如果选择了“释放隐藏的文件到硬盘”,那么就会在磁盘里面发现一个隐藏文件,不过我觉得还是不要选择这个选项比较好。就这样,我们的木写程序就悄无声息的进入到用户的系统中了。

相关推荐