”木马免杀之壳中改籽

本文已发表在黑客Ｘ档案２００８09期转载请注明出处
这种免杀方法已经出来有一段时间了，不过直到现在还不是主流的免杀方法，并且该方法很少有人用，所以免杀效果非

常好，各大黑客网站也很少见到介绍，今天就借此机会贡献给大家。
首先准备一个灰鸽子服务端（未加壳），然后用UPXSHELL加壳，将加壳后的文件命名为“加壳后.exe”图1

接着用PEiD.exe打开查看，如图2

这里有几个数据需要我们记录，等下和修改后的文件做比较用。
先分别把程序入口点：00081FB0、文件偏移量：000301B0 记录下来，然后点击查看EP区段
在区段查看上面再点右键选择cave查找器，把upx壳区段upx1的RVA：00082168、 偏移：00030368等参数也记录下来。如图3

现在轮到我们的主角出场了——reloc.exe，reloc 是一款命令下的工具，所以为了操作方便，我建议大家写一个bat文件和reloc放在同一目录。我们

先来编辑这个bat文件，编辑bat文件格式如下：reloc 待修改程序 $程序入口 $文件偏移量 $壳的区段入口 $区段偏移 参数，
所以我们的bat文件的内容就是： reloc 加壳后.exe $81FB0$301B0$82168$30368 6
各项数据前面的零不要写到bat里面，另外最后面的这个参数大家注意，其实它是设置修改时的偏移量的，一般dll文件选择5，exe文件选择5-9之间的

数，一般选择6就好了。设置完了，我们运行这个bat文件，开始修改。修改完后用PEiD.exe重新打开，可以发现PEiD已经无法分别是什么壳了，如图4

把原来记录的几个数据和现在对比一下发现程序入口和文件偏移量没有，而壳区段入口和区段偏移却改变。由此我们也可以看出，peid不仅仅是是通

过每个程序的开头几十个字节来判断是那种壳的，还通过壳的区段入口开头的几十个字节来判断壳的类型，其实杀毒软件也是如此。最后我们看看免

杀效果，金山，瑞星，卡巴全过，如图5

经过这么简单的修改以后效果是非常好的，分析它实现免杀的原理，不难看出换一个角度思考问题的重要性，从壳的修改转到壳中籽的修改，不能不

说这是一种创新。我是拿UPX的壳来演示的，当然不只是UPX的壳可以改籽，大多数的壳都可以，这就相当于大多数壳都有了一个变异。另外壳中改籽

法不仅可以用于免杀，还可以用于防止我们的程序被破解。

reloc.rar