逆向工程打造免杀后门
2009-05-30 16:52:49 来源:WEB开发网核心提示: 然后按下F7键来运行这条指令,结果如图六,逆向工程打造免杀后门(3),图片看不清楚?请点击这里查看原图(大图),呵呵,因为异或有以下特性是不错的: XOR SOURCE,KEY=DEST XOR DEST,KEY=SOURCE 也就是说我们对SOURCE异或两次得到的结果还是SOURCE,
然后按下F7键来运行这条指令,结果如图六。
图片看不清楚?请点击这里查看原图(大图)。
呵呵,是可以写入的。那么我们接下来就就可以继续打造了,下面我们要确定需要加密的代码部分了。回到程序入口处,因为我们后面还要修改入口处的指令为一个跳转指令,因此需要加/解密的开始部分应该往后选,找到0040101F $ 55 PUSH EBP,我们就从这里开始加密吧。接着确定加/解密的结束部分,往后翻看代码到如图七的部分。
图片看不清楚?请点击这里查看原图(大图)。
看到下面的一行了:
结构 ’IMAGE_IMPORT_DESCRIPTOR’
这个结构就是IAT了(Import Address Table)就是PE文件格式中的导入表了。我们加/解密是不能包括IAT的(详细情况读者朋友可以去翻越PE方面的资料),因此结束部分我们就选择004010fe吧。到此为止,我们已经确定了需要加/解密的部分,接下来要确定我们的加密算法了。这里我们可以使用非常简单的异或作为我们的算法,因为异或有以下特性是不错的:
XOR SOURCE,KEY=DEST
XOR DEST,KEY=SOURCE
也就是说我们对SOURCE异或两次得到的结果还是SOURCE。算法确定后,我们在olly窗口中的004011f0处开始我们的加/解密程序吧,如下:
[]
更多精彩
赞助商链接