木马彩衣的实现原理

最新推荐文章于 2025-08-06 23:34:35 发布
原创 最新推荐文章于 2025-08-06 23:34:35 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#delphi #image #header #dos #网络 #c

本文介绍了木马彩衣的实现原理,通过在程序中添加新的Section,并将入口点指向新Section,然后在新Section中加入跳转指令,以此来混淆反病毒软件。示例代码展示了使用Delphi改编的代码,演示了如何修改PE头信息和添加跳转指令,以实现加壳过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

木马彩衣的实现原理,也就是在程序里面加多一个Section,并且把入口点指向我们新添加的Section,然后再在我们的Section的代码里加上一个jmp,jmp到真正的入口点.这样,一些识壳软件,它在识别入口点代码时,就跑到我们新加的Section,看到里面的代码是VC6或是Delphi的代码也就认为是VC6或是Delphi的程序了.
下面是我写的一个代码,修改自"Fi7ke"老大的Delphi代码,原文可以查看http://blog.youkuaiyun.com/hnxyy/archive/2005/11/16/530694.aspx


DWORD JMPOFF=43;

char OEPCODE[]={0x55, 0x8B, 0xEC, 0x6A, 0xFF, 0x68, 0x2A, 0x2C, 0x0A, 0x00, 0x68, 0x38,
    0x90, 0x0D, 0x00, 0x64, 0xA1, 0x00, 0x00, 0x00, 0x00, 0x50, 0x64, 0x89,
    0x25, 0x00, 0x00, 0x00, 0x00, 0x58, 0x64, 0xA3, 0x00, 0x00, 0x00, 0x00,
    0x58, 0x58, 0x58, 0x58, 0x8B, 0xE8, 0xB8, 
  0x00, 0x10, 0x40, 0x00, //此处的DWORD是跳转的地址
 
最低0.47元/天 解锁文章

200万优质内容无限畅学
安全术语扫盲
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等 远控 远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距
网络安全(黑客)常见术语
weixin_46162146的博客
03-06 1891
1,肉鸡: 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以象操作自己的电脑那样来操作它们,而不被对方所发觉。 2,木马: 就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。有很多黑客就是 热中与使用木马程序来控制别人的电脑,比如...
2010最新木马彩衣,免杀过7大杀软
04-29
2010最新木马彩衣,免杀过7大杀软,,安装时小心,,以免被误杀!!!
木马彩衣原理和代码示例
04-06 1395
木马彩衣实现原理,也就是在程序里面加多一个Section,并且把入口点指向我们新添加的Section,然后再在我们的Section的代码里加上一个jmp,jmp到真正的入口点.这样,一些识壳软件,它在识别入口点代码时,就跑到我们新加的Section,看到里面的代码是VC6或是Delphi的代码也就认为是VC6或是Delphi的程序了.下面是我写的一个代码,修改自"Fi7ke"老大的Delphi
反调试伪装加密免杀壳.加壳工具
01-14
反调试伪装加密免杀壳.加壳工具ASM汇编 这个是最舒服的,用OD打开已经配置好的马,找0区(也可以用TOPO加空段)要很大一片哦!右击,选择“二进制”→“编辑”,在ASCII中输入“Cmd /c REG add HKLM\SOFTWARE\360Safe\safemon /v MonAccess /t REG_DWORD /d 0 /f”记下写入命令的改动的第一个地址,假设为401180。 再找一个小空段,记下地址,假设为40116A 写入: Push 401180 (也就是那个改动的地址) Call WinExec Jmp 原程序入口点(在OD右边窗口的EIP后面可以看到) 打开OC把40116A转换为文件偏移0000056A 再用PEditor打开,把原入口点改为0000056A 这样一个过360服务监控的木马就诞生了。 (大家完全可以按照加花的步骤来写,就是命令不同而已) 大家也可以禁用其他360的监控项目,即使加个花都没问题,随便大家发挥了。
免杀汇编教程(汇编花指令)
zacklin的专栏
03-27 2760
相信很多朋友都做过木马免杀,早期的免杀都是加壳和改特征码,现在免杀技术已经发展到花指令免杀,改壳之类的,而这些需要一定的汇编知识,但是汇编却不是一块容易啃的骨头,所以我写了这篇菜鸟版的免杀汇编教程,帮助小菜们快速入门,掌握免杀必备的汇编知识,改花指令,改特征码的技巧和编写自己的花指令。    一、免杀必备的汇编知识     push 压栈,栈是一种数据结构,记住四个字:先进后出。压栈就是把数
免杀基础概念与查杀方式原理笔记
m0_57836225的博客
08-22 1034
这两句指令的作用是先将栈指针(esp)加上一个负值(-0C,这里的“0C”是以十六进制表示的数值,相当于十进制的 12),然后再将栈指针加上一个正值(0C)。- **跳转指令**:`jmp`(无条件跳)、`je`/`jz`(若相等则跳)、`jne`/`jnz`(若不相等则跳)、`jb`(若小于则跳)、`jl`(若小于则跳)、`ja`(若大于则跳)、`jg`(若大于则跳)、`jle`(若小于等于则跳)、`jge`(若大于等于则跳)。从效果上看,栈指针的值在修改前后都没有发生变化,保持了堆栈的平衡。
木马免杀原理及方法(超全)
热门推荐
zhangnn5的专栏
05-22 1万+
灰鸽子免杀<br />概况   免杀意为免除被杀毒软件杀掉的软件。   灰鸽子免杀简介:本工具为纯绿色工具,软件采用独特的查杀技巧可完全查杀灰鸽子全系列(VIP2005、vip2006、免杀处理)木马,本软件已经过严格测试,备用本工具可以让您免受灰鸽子木马的困饶.更新内容:软件增加在线更新功能,增加对VIP2006系列及免杀处理的鸽子的查杀。 编辑本段原理解析灰鸽子免杀原理免杀技术全揭密   一.关于免杀的来源   为了让我们的木马在各种杀毒软件的威胁下活的更久.   二.什么叫免杀和查杀   可分为
软件免杀技术详解:实战策略与工具应用
3. **加壳或伪装壳免杀法**:使用冷门或伪装壳工具(如木马彩衣),虽然简单但不持久,可能会被迅速识别。 4. **打乱壳头文件或壳中加花**:利用秘密行动和UPX等工具,通过混淆壳头或在壳内添加花指令,实现更高...
这些黑客经常挂在嘴边的“黑话”,你知道多少?
02-28 7432
网安安全作为一个入门门槛较高的领域,大量的专业术语还是让人如读“黑话”般的想抓耳挠腮,本文盘点了超过200个常用的网络安全词汇,看看你是否都了解呢? 很多人学习python,不知道从何学起。 很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手。 很多已经做案例的人,却不知道如何去学习更加高深的知识。 那么针对这三类人,我给大家提供一个好的学习平台,免费领取视频教程,电子书籍,以及课程的源代码!QQ群:721195303 一、攻击篇 1.攻击工具 肉鸡 所谓“肉鸡”..
木马免杀浓缩精华版教程
07-13 895
木马免杀浓缩精华版教程木马免杀浓缩精华版教程第一部分:对国内外杀毒软件分析   在讲定位内存特征码前,先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有
花指令收集
aichengluan3800的博客
11-15 211
1.伪装c++代码:push ebpmov ebp,esppush -1push 111111push 222222mov eax,fs:[0]push eaxmov fs:[0],esppop eaxmov fs:[0],eaxpop eaxpop eaxpop eaxpop eaxmov ebp,eaxjmp 原入口地址********************************...
渗透理论概述
Auscoo111的博客
10-23 5009
渗透入门——术语概述 常见术语 渗透流程 明确目标——信息收集——漏洞探测——漏洞验证——编写报告 ——信息整理——获取所需——信息分析 脚本:动态网站(asp,php,jsp), linux, python 网站:静态网站(与后台交互比较少,如html) 动态网站(使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台lin...
HCIP笔记(第四章)
panshiyangmaye的博客
08-03 1051
描述区域内的MA网络(广播网络、NBMA网络)链路的路由器及掩码信息仅在区域内部传输只有DR才会产生type2_LSA[R1]dis ospf lsdb network 查看Type2 LSA的具体信息Summary LSA(聚合LSA)在整个OSPF区域内,描述其他区域的链路信息以子网形式传播,类似直接传递路由只有ABR会产生type3_LSA[R1]dis ospf lsdb summary 查看Type3 LSA的具体信息描述ASBR的信息只有ABR才会产生TYPE4 LSA。
秋招笔记-8.6
最新发布
lastXuanGod的博客
08-06 1273
昨天开组会投文章以及玩苏丹的游戏去了,今天得知不久后有面试,所以我们需要快速地过一下基本的八股和项目。
WebSocket断线重连机制:保障实时通信的高可用性
2401_82591622的博客
08-02 1210
​​速度​​(快速恢复) vs ​​节制​​(避免压垮服务端)​​通用性​​(覆盖多场景) vs ​​定制化​​(适配业务需求)​​自动化​​(无缝恢复) vs ​​可控性​​(允许用户干预)​​终极建议​关键系统采用​​双心跳​​(协议层+应用层)结合​​指数退避​​ + ​​网络状态监听​​服务端实现​​会话无感迁移​​(如Redis存储Session)正如分布式系统名言:“不是考虑连接会不会断,而是何时断健壮的重连机制,正是实时应用的“生命线”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值