Xmaker
QQ:7814771 QQ群:4799678
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
注意：该教程里用的ExeBundle.exe示范文件是个软件捆绑软件，没有病毒、无木马!

在“将你的壳伪装成VC程序I_让PEiD死翘翘”里的ExeBundle.exe程序由MASM32 / TASM32改成Microsoft Visual C++ 5.0了，现在也具有躲避杀毒软件的能力了。
但，还可以继续修改,加入其他指令,使其更好的躲避杀毒软件(就是用花指令)!因为，网上有这类教程所以这里就只是简单吹吹(思路是一样的，你可以换成不一样的代码!)...
用这种方法加密后的木马，就是所谓的变种了，所有杀毒软件都无法查杀。即便能杀，你还可以进行重复修改，成为无穷变种！
*****************************************************
现在用OllyDbg对ExeBundleVC++5.exe进行代码修改!
在原来的基础加了下面这段代码！
<<<<<<<要注意jmp的跳转!>>>>>>>>>>>
这里只需记住: 00401AC4是最后要跳转的地址
ExeBundleVC++5kill.exe这个文件已经添入了下面这段代码!!!!
somewhere:
nop /"胡乱"跳转的开始...
jmp 下一个jmp的地址 /在附近随意跳
jmp ... /...
jmp 原入口的地址 /跳到原始oep

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
新入口: push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
loop somewhere /跳转到上面那段代码地址去！
木马文件的修改和查看请看"将你的壳伪装成VC程序I_让PEiD死翘翘".这里就不重复了!
你可以看到两个文件的区别!!!!!!!!!!!!!!!!!!!!
88我该睡觉了。。。
02/19/2005
望月 爱国者安全网提醒您：
动画内附广告纯属个人宣传，网络交易，风险自担。