修改灰鸽子PE头以实现免杀效

转载 大家好````我是JKS_Ｊia...今天给大家带来一个关于免杀的教程``修改PE头``` 大家可能有疑问了``那修改PE头有什么用呢``?`..有很对时候杀毒软件定的特征码很变态， 定位特征在PE头上``我们如果用一般的特征码修改法, 修改以后无法运行，应为PE无法识别他是一个可执行程序...例子就像PCshare 修改PE头不仅有免杀效果``而且还有反调试的功效`` 就是修改后不能用OD载入了```那样就可以保证..我们的免杀技术不泄露了``好``在开始前 先来说句`` 甲壳虫技术小组 坚韧不拔 永不言弃 www.jksing.com -------------------------------- ------诚招技术伙伴加盟---------- 如果课程不明白的可以加此群交流``41415673 好了``费话不多说``我们开始`` 在这里我就用鸽子示范一下``虽然目前我还没知道哪个杀软会杀鸽子的PE的`` 所以免杀效果演示不了``在这主要是学方法..而不是生搬硬套!! 首先我们来了解一下什么是16进制和10进制```关与进制方面``转换就交给转换器```` 就像E0是16进制单位``转化成10进制就变成224了```所以了解一点就够了`` 首先我们打开 C32...还是选16进制模式`` 好```我们来看``这个PE头`` 顾名思义``PE头都是以PE开始的!!! 好了``大家又有疑问```怎么知道PE头大小呢``? 好``我们来看```PE下有个" ? "的符号```PE的大小就看他`` 怎么看呢``看16进制栏呢!!! 大家看见了吧``是E0..然后打开转化工具转化吧````前面转化好是224 然后我们从PE头部分一直拉``` 拉够224字节...看..下面有显示224字节的!!! 然后COPY(复制).. 我们可以把PE header上移 我们向上拉一片区域```刚好224字节````我们粘贴``` 好了``现在我们看PE头多大```? 现在变成336了`` 好``我们转换一下```在16进制里是150 接下来我们修正``` 150 按照地位到高位的写法 应该这样写 50 01 好...大小修正完了``再把PE入口点修正```` 随便找的地方吧````就这里``` 看..现在的入口点是00000090 我们就修正为 90 00 好``先用OD测试能不能载入```测试我们的反调试效果```` OK..不能载入````我们再测试上线``` OK...没问题```今天的教程就到这里```` 在此先请求黑吧给我个邀请码```资源共享..技术交流嘛````互相促进````呵呵``` 好..完工``我们下次再见``