上篇文章《加壳免杀360杀毒》说到了给加壳免杀,但是由于大多数的壳都已经有一些年份了,想要轻易的躲过杀毒软件的查杀还是有一定的难度,如果是说我们在重新编写一款壳可能效果会不错。但这对于大多数还没有接触过编程的朋友是非常困难的。
既然编写新免杀壳的这条路走不通,那么我们可以尝试一下在原有的基础上进行修改,把原有的壳带 (载入od修改) 到韩国去整整容整的连杀毒软件都不认识,既然都不认识了,那么杀毒软件就自然也就不再查杀了。
首先生成一个被控端程序出来,然后你可以用远控软件自带的upx压缩壳加一层壳,或者用其它的加壳工具也是可以的,用杀毒软件扫一扫看报不报毒,报毒就说明这壳已经被杀毒软件给强了。
image
打开Ollydbg反汇编程序把加壳软件直接拖进去,那么你就会看到一个花花绿绿的界面,这就是od的主界面,光标停留的地方就是壳的入口处,我们需要改的就是从壳的入口处一直往下修改这些汇编指令。
image
对于没了解过汇编指令的同学,可能会有一些蒙圈不知道怎么修改。可以百度搜索 汇编指令等价替换,就可以找到汇编指令等价替换的文档,根据这些等价的汇编指令来进行修改,列如 add 尝试修改改成adc,因为它们都是 加法指令 。
image
选中你需要修改的汇编指令,按《 回车键 》弹出修改框 >> 修改好后点击《 汇编 》按钮完成修改,你可以参照网上找的《 汇编代码等价替换 》文档进行替换修改,当然这些等价代码也不是万能的,不一定就适合每一处代码的修改。
image
为了防止修改后程序不能正常运行,所以可以每次修改都保存测试一下。看一看程序是否能正常运行,至于OD怎么保存修改后的文件,因为不好截图我就不做过多赘述了,od的具体使用方法可以自行百度一下。
image
壳的修改方法其实和特征码修改基本一致,无非就是上下俩句代码互换,或者是等价的代码进行替换,修改时建议靠近入口点修改,如果修改的代码离入口点太远,很多代码都是废代码不一定会被执行的,所以修改了也不会有多大的效果。
image
最后因为我们是站在免杀的角度去修改这些壳代码的,所以只要程序能免杀正常运行,不存在重大缺陷这些都是可以接受的,所以就不要去纠结这些代码这样修改合不合理,如果真的要较真 站在汇编的角度来看,那么我告诉你这样修改是非常不合理的,而且还是乱七八糟的。
网友评论