开发学院网络安全黑客技术 逆向工程打造免杀后门 阅读

逆向工程打造免杀后门

 2009-05-30 16:52:49 来源:WEB开发网   
核心提示: 然后按下F7键来运行这条指令,结果如图六,逆向工程打造免杀后门(3),图片看不清楚?请点击这里查看原图(大图),呵呵,因为异或有以下特性是不错的: XOR SOURCE,KEY=DEST XOR DEST,KEY=SOURCE 也就是说我们对SOURCE异或两次得到的结果还是SOURCE,

然后按下F7键来运行这条指令,结果如图六。

逆向工程打造免杀后门

图片看不清楚?请点击这里查看原图(大图)。

呵呵,是可以写入的。那么我们接下来就就可以继续打造了,下面我们要确定需要加密的代码部分了。回到程序入口处,因为我们后面还要修改入口处的指令为一个跳转指令,因此需要加/解密的开始部分应该往后选,找到0040101F $ 55 PUSH EBP,我们就从这里开始加密吧。接着确定加/解密的结束部分,往后翻看代码到如图七的部分。

逆向工程打造免杀后门

图片看不清楚?请点击这里查看原图(大图)。 

看到下面的一行了:

结构 ’IMAGE_IMPORT_DESCRIPTOR’

这个结构就是IAT了(Import Address Table)就是PE文件格式中的导入表了。我们加/解密是不能包括IAT的(详细情况读者朋友可以去翻越PE方面的资料),因此结束部分我们就选择004010fe吧。到此为止,我们已经确定了需要加/解密的部分,接下来要确定我们的加密算法了。这里我们可以使用非常简单的异或作为我们的算法,因为异或有以下特性是不错的:

XOR SOURCE,KEY=DEST

XOR DEST,KEY=SOURCE

也就是说我们对SOURCE异或两次得到的结果还是SOURCE。算法确定后,我们在olly窗口中的004011f0处开始我们的加/解密程序吧,如下:

上一页  1 2 3 4 5 6 7  下一页

Tags:逆向工程 打造 后门

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接