本文由百度文库批量上传下载工具生成CreatedByYelkyQQ:283830411免杀木马的最全最新思路首先我给大家介绍今天的主角.一个名叫"秘密行动"的新工具,这个工具把常用的几个小程序集合于一身,功能十分强大,可以完成捆绑程序,修改特征码,十六进制编辑及分割合并文件等.这次主要是利用这个新工具中集成的几个最新木马伪装技术,完成我们的木要马加密过程.下面就跟着我来一步一步将木马改造成超级无敌木马吧!------------------------------------------------------步骤一:增加字节法我们都知道,杀毒软件是通过程序中某个位置的病毒特征码,来对文件进行识别判断是否是木马病毒的,改变了木马程序文件夹病毒特征码,就可以有效的躲过杀毒软件的查杀,更改木马的病毒特征码有几种方法,比如直接用特殊的工具进行修改,或者进行加壳等,但是由于杀毒软件的病毒识别技术在不断的提高,杀毒软件往往都通过同时对几处病毒特征码进行识别,因此普照通的特征码修改方法已经失效了,这里要为大家介绍的是一种新方法-----增加字节法.---------------------------------------------------每个程序文件中都存在一些剩余空间,木马程序也不例外,我们可以向木马程序文件中增另一些空字节,从而改变文件的整个代码结构,但是并不影响程序的执行,由于程序的代码结构已经发生了变化,相应的病毒特征码位置也发生了改变,因此杀毒软件也无法对木马程序进行查杀了.点击秘密行动程序界面中的"AddBytes"(增加字节)按钮,在增加字节页面中输入要增加的字节数.默认的增加字节数是1000字节,但是过多的字节数会增加木马程序的体积,因此可以先增加一个比较小的字节数目击者.如果增加字节后,用杀毒软件检测能查出木马,那么再逐渐加大字节数.直到无法查出病毒为止.其实有时只需增加23个字节,就足以改变特征码让木马程序躲过杀毒软件了.设置了合理的字节数后,点击"选择文件"旁的浏览按钮,浏览选择要进行增加字节处理的木马程序,然后点击"AddBytes"按钮,即可在木马程序中增加指定的字节数了,这里我们和坂的是Pcshare生成的木马服务端程序,通过两次增加23个字节数后,用杀毒软件进行查杀,提示没有检测到病毒.-----------------------------------------------------步骤二:EXE文件巧变VBS在windows系统中,默认情况下都安装了Wscript,因此可以执行VBS文件,如果我们将木马程序转化为VBS文件后,由于许多杀毒软件不对硬盘中的VBS文件检测.因此木马程序就可以躲过病毒防火墙的眼睛,同时,将木马程序转化为VBS文件还有一个非常有利的地方,比如在获得一个溢出的shell窗口后,发现被溢出主机上安装了防火墙,无法上传木马时,可以通过直接将VBS代码贴入shell窗口,在远程主机中写入一个VBS文件,达到上传木马的目标.-------------------------------------------------------1.躲过杀毒软件点击秘密行动程序界面中的"CreateVBS"按钮,在VBS文件生成页面中点击"选择文件",指定木马程序文件后,将自动显示输入VBS文件名.点击"Makescript"按钮,程序就会自动将EXE文件转化为VBS文件了.转化成功以后出现成功提示,并显示了源EXE文件体积和新生成VBS文件的大小,可以看出经过转换后木马程序体积并没有增大多少.虽然在我的电脑上启用了杀毒软件的即时监控功能,但是在运行生成的VBS文件时,杀毒软件并没有发出病毒警报,可见生成的VBS成功地躲过了杀毒软件查杀.--------------------------------------------------------2.上传木马当我们获得一个远程溢出窗口时,如果远程主机上安装了防火墙和杀毒软件,无法上传木马时,可以用秘密行动软件将木马程序按上面的方法转化成为VBS文件.然后用记事本打开生成的VBS文件,将所有程序代码复制到剪切板中.再返回溢出的shell窗口.输入命令"copyconmuma.vbs";回车后,在shell窗口中点击鼠标右键,选择"粘贴"命令,将所有VBS代码贴入shell窗口中,代码贴入后,按下<CTRL>+Z组合键,屏幕上会看到^Z的提示.这个时候再敲一次回画.系统会提示"已复制一个文件",这就表示文件创建成功了,在远程主机上生成一个名为"muma.vbs"的文件,在shell窗口运行"muma.vbs",木马服务端程序就已经悄悄在远程主机上运行了.----------------------------------------...