今天给大家讲解一下PE头移动免杀。了解过二进制可执行文件的朋友应该都知道,二进制可执行文件是属于PE结构体。PE结构体是一个相对复杂的文件结构,我这里把一个C++木马程序拖进C32里面给大家简单的介绍一下。
image
PE文件分为五个部分 Dos头 、Dos模块、PE头、区段表、还有对应的区段,我讲的这些你大概了解一下就行了。接下来我们主要对PE头下黑手了,PE头默认大小是224个字节。我们需要把PE头向上移动一行,以及修改记录PE开始位置的数据 和 记录PE大小的数据。本文章转载至《黑客技术流》
image
可以从下图看到,我首先是把PE头位置先向上移动一行。那么PE头的大小现在就是增加到了240个字节,240个字节是10进制的表示形式。我们需要把240从10进制转换成用16进制表示,那么经过转换后的240就变成了F0。确定了他的大小接下来我们就需要修改记录它大小的数据了,之前记录PE大小的数值是E0现在被我修改成了F0。
image
如果上面的步骤你都已经完成了,那么接下来就剩下最后一步修改记录PE头开始位置的数据。可以看到之前是记录值是F0开始的,现在已经被我修改成了E0 然后点击保存文件。
image
经过上面的步骤我们已经成功的完成了PE头的移位工作,接下来就是需要运行一下你PE头移位后的程序。看一下程序还能不能正常运行,如果程序不能正常运行说明你还没有修改正确需要继续修改。最后能不能免杀完全取决你的配合了,这也是一种相对比较简单基础的一种免杀方法。
网友评论