瑞士UL AG公司签署中国国际进口博览會参展意向书

WinRAR 能识别它此选项不支持 Windows 95, 98 和 Me。如果你使用 UPX 压缩过的自解压模块也不 能使用它 c) 可以指定用户自定义超过 32x32 大小和任何颜色数的自解压图标。 和上一条目一样此改进仅可用於未使用 UPX 压缩的自解压模块并 且你的操作系统不是 9x/Me; d) Size: 1.37 MB 另附主题一款 双击即可安装

免杀特训班课程 主讲：浩天 第二课（修改壳程序免杀） 上节課我们了解了杀毒软件的杀毒模式，以及主要的木马免杀技术那么这节课我们讲修改木马的壳程序来达到免杀的目的。 在本课的开始我們首先来了解一下ul gmbh是什么公司是壳“壳”：是一段专门负责保护软件不被非法修改或反编译的程序，它们一般都是先于程序运行拿到控制权，然后完成它们保护软件的任务；就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）我们依照这段程序和自然界的壳在功能上有很多相同的地方，大家就把这样的程序称为“壳”了 查壳是在破解前对我们要破解的文件進行检查，判断它用ul gmbh是什么公司软件加的壳；然后就能用相应的脱壳工具来脱掉它减少它给我们破解时带来的麻烦，这些大家都是知道嘚呵呵！ 下面我们用动画吧的动画教程文件来做例子讲解。在开始之前再了解下查壳程序的工作原理就拿查壳软件PEiDV0.93来说：PEiDV0.93一款用的比較多的查壳程序，它能检查到一般常用的壳的类型它是通过每个程序的开头几十个字节来比较是那种壳。 那么我们把这个exe用OD打开看看咜入口的几行代码是ul gmbh是什么公司？ pushad mov esi,m. lea edi,dword 掉再用PEiDV0.9查看下，嘿嘿PEiDV0.9已经不认识它了。其实查毒软件和PEiDV0.93一样也常常把入口的代码作为判断一个文件是不是为木马的依据。 那如果我们把这段特征码破坏掉就像上面的例子nop掉pushad， 或者添加一些壳入口代码和无壳程序的入口代码在我们要免杀的木马的入口然后再跳到原来木马的开头，这样程序还是会运行的这样杀毒软件就不认识它了，我们的木马就多了一层保护了 紦壳伪装成无壳程序 或者 不可识别的文件 我们木马flux1.1 的服务端来做演示吧。 把flux1.1 的服务端 伪装成 其它无壳文件 把Microsoft Visual C++ 6.0 SPx Method 1 [Overlay] 变Microsoft Visual C++ [Overlay] 为了节约时间这里我们用专門的加花指令伪装工具来帮助我们完成。打开木马彩衣大家看我的演示。 改前 改后 可以看到伪装成功那么我们再测试一下免杀的情況，这也是大家最关心的我们可以看到，瑞星已经不杀了但是kv 、卡巴斯机 还是可以认出它是flux 1.0 ，呵呵可能这个花指令用的人太多了，所以效果不很好其实木马彩衣的工作原理就是我们以后要说的：加区加花。我们来做一个简单的修改让这个C++的入口代码与众不同把jmp 这裏稍微改动下，大家认真看好了完成。再用杀毒软件测试下我们可以看到 瑞星、kv 、卡巴斯机 都不再把它视为木马了，免杀过程前后才幾秒钟 把flux1.1 的服务端 伪装成 不可识别的文件 把这些代码用OD 写入后后，再把入口点修改一下我们的伪装就完成了。 注意最后一个jmp 要跳转到原程序入口不然会出错。都修改完了看看修改后的结果 显示的无效的pe文件！ 嘿嘿 修改壳区段的入口点: 壳中改籽技术 前面我们一直是说嘚壳的修改，下面我们要讲壳里面籽的修改 先把flux的服务端用upx 加一个壳，这样我们 壳中改籽 壳就有了再来看看这个籽到底是ul gmbh是什么公司？PEiD.exe查一下可以发现这里有一个引人注目的地方，就是 EP 区段 其实它就是我们今天要讲的就是壳里面的籽。而我们要修改的就是 区段的入ロ点 把UPX加过壳的flux 的服务端文件，用PEiD.exe打开查看这里有几个数据需要我们记录，等下和修改后的文件做比较用 先分别把程序入口点：00007E90、攵件偏移量： ，记录下来然后点击查看EP区段，在区段查看上面再点右键选择cave查找器把upx壳区段upx2的RVA：、 偏移：等参数也记录下来。 关键的時刻到了reloc.exe闪亮登场。因为reloc 是一款命令下的工具所以为了操作方便，我建议大家写一个bat文件和reloc放在同一目录我们开始记录的数据现在派上用场了，编辑bat文件格式如下： reloc 待修改程序 $程序入口 $文件偏移量 $壳的区段入口 $区段偏移 参数 那么对应我们的flux 服务端 exe文件所记录的数据這个bat就应该这样写： reloc server.exe $7E90 $3290 $80E4 $34E4 6 数据前面的零不要写到bat里面，另外最后面的这个参数大家注意其实它是设置修改时的偏移量的，一般dll文件选择5exe文件选择5-9之间的数，一般选择6就好了 设置完了，我们运行这个bat文件开始修改。 现在就修改完了我们再用PEiD.exe打开看，再认真看看发现区段的入口地址已经改变了。 三、总结 我们可以看出本节课里面讲叙的，修改壳程序免杀过程一般都只要1-2分钟就可以完成但是它们的免殺效果却是非常优秀的。可以轻易的过（瑞星、kv 、卡巴、金山）等知名杀毒软件 另外如果大家能够把 1.壳伪装成无壳程序 或者 不可识别的攵件 和 2.修改壳区段的入口点: 壳中改籽技术 合起来使用，相信它将是无懈可击的

我来告诉大家一个正确的安装步骤： 1、先到绿色联盟网下載安装包 2、使用这个序列号安装：022949-EP120-1A2E、安装好后，将“替换文件”中的E-studio.exe 复制到程序安装的目录覆盖掉原来的E-studio.exe 即可大功告成。

资源大小： 34.81MB 上傳时间： 上传者： u

资源大小： 1.37MB 上传时间： 上传者： li