逆向工程打造免杀后门

核心提示： 然后按下F7键来运行这条指令，结果如图六，逆向工程打造免杀后门(3)，图片看不清楚？请点击这里查看原图（大图），呵呵，因为异或有以下特性是不错的： XOR SOURCE,KEY=DEST XOR DEST,KEY=SOURCE 也就是说我们对SOURCE异或两次得到的结果还是SOURCE，

然后按下F7键来运行这条指令，结果如图六。

图片看不清楚？请点击这里查看原图（大图）。

呵呵，是可以写入的。那么我们接下来就就可以继续打造了，下面我们要确定需要加密的代码部分了。回到程序入口处，因为我们后面还要修改入口处的指令为一个跳转指令，因此需要加/解密的开始部分应该往后选，找到0040101F $ 55 PUSH EBP，我们就从这里开始加密吧。接着确定加/解密的结束部分，往后翻看代码到如图七的部分。

图片看不清楚？请点击这里查看原图（大图）。　

看到下面的一行了：

结构 ’IMAGE_IMPORT_DESCRIPTOR’

这个结构就是IAT了（Import Address Table）就是PE文件格式中的导入表了。我们加/解密是不能包括IAT的（详细情况读者朋友可以去翻越PE方面的资料），因此结束部分我们就选择004010fe吧。到此为止，我们已经确定了需要加/解密的部分，接下来要确定我们的加密算法了。这里我们可以使用非常简单的异或作为我们的算法，因为异或有以下特性是不错的：

XOR SOURCE,KEY=DEST

XOR DEST,KEY=SOURCE

也就是说我们对SOURCE异或两次得到的结果还是SOURCE。算法确定后，我们在olly窗口中的004011f0处开始我们的加/解密程序吧，如下：