逆向工程打造免杀后门

图片看不清楚？请点击这里查看原图（大图）。

到这里，我们先保存一下吧。右键单击任意代码处选择复制到可执行文件－>“全部修正”，结果如图十一。

好像出错了！这个错误的意思是我们的文件不够大无法保存我们修改的代码，那么我们得手工为这个文件增加点体积了。关掉olly，用ultraedit打开该文件，在文件的最后单击鼠标右键选择HEX插入与删除，弹出如图十二的对话框，　

在字节数量的文本框中输入256，确定后如图十三，然后保存退出。接着用PEDITOR打开这个文件，单击Section按钮，弹出节表窗口里面只有一个.h4x节，右键单击这个节选择edit section，如图十四。

图片看不清楚？请点击这里查看原图（大图）。

网管网bitsCN.com

在弹出的对话框中在New Values栏中的Raw size改成00002e4（即加上256的16进制数0x100），如图十五。点击apply changes按钮后退出。

图片看不清楚？请点击这里查看原图（大图）。

到此，我们已经给这个程序增加了100h个字节的长度了，下面我们再重复前面的步骤来修改这个文件，修改完后我们在dump一次看看，这次就没有错误提示了。OK！最后一项工作，我们需要先把这个文件进行加密，然后再dump到一个可执行文件里，这样下次它在运行的时候就会自动异或而还原回到原来的代码从而顺利执行。于是我们在olly中，找到我们添加的代码的第一条指令，在此新建EIP，然后往后在“SUB ESP,190”指令处设置断点，如图十六。