把木马 做成 DELPHI 资源文件 然后加载到EXE中

把木马.exe 做成 DELPHI 资源文件 然后加载到EXE中 就发现用杀毒软件扫描不出来了有人这样做过吗?不过运行的时候 我只能释放到硬盘文件。

解决方案 »

  1.   

    http://www.joachim-bauch.de/tutorials/load_dll_memory.html/en/talkback/1143803703/discussionitem_view这里有在内存中加载 DLL的 有没有可能 EXE中直接运行 资源文件中的EXE 而不是你网上大都使用如下方式 先保存到硬盘 Res := TResourceStream.Create(Hinstance, 'aaa.exe', 'aaa'); 
    Res.SavetoFile('aaa.exe'); 
    winexec('aaa.exe',sw_Normal); 
      

  2.   


    Res := TResourceStream.Create(Hinstance, 'aaa.exe', 'aaa'); 
    Res.SavetoFile('C:\aaa.exe'); 
    像上面这样 我的卡巴斯基8.0没反应
      

  3.   

    释放资源并运行时还是可能会被杀毒软件查杀的,需要对资源内的exe进行加壳等处理才可以。
      

  4.   


    PE头移动了一位,然后加壳的做一次 让同学用诺顿试了竟然没杀出来。不过卡巴 X星竟然查出来了
      

  5.   

    个人也觉的不错,不过理论<>实际。
      

  6.   

    在虚拟机上测试吧,在多个杀毒软件下进行测试,不过个别按照行为模式进行查杀规则的杀毒软件可能还是会发现的,所以很多病毒都采取Kill杀毒软件的进程。
      

  7.   


    在虚拟机中测试,我虚拟机才分配了5G,CPU我还是1.5G呢,装不了很多软件。再说初学程序,后面深层次的那些还都不会
      

  8.   

    你问我就对了
    pe文件移动多少位置都没用做成资源100%杀你
    不杀你,是因为你木马感染的人少想静态扫描不被杀只有用zip加密压缩
    释放的时候分成a,b两个文件
    a修改b的特征,然后b随机修改a的特征
    比如随机位置随机转换大小写这样能防止文件被卡巴错杀
      

  9.   

    盒子上有运行资源中的EXE代码,楼主可以去找找看!
    不过别做坏事情啊
      

  10.   

    会杀的,亲爱的楼主
    我用灰鸽子使用的socks5的单元,写了一个socks5代理服务器,其他全部是自己写的,就因为
    用了这个单元被判断为灰鸽子
    程序才100多K,灰鸽子可能这么小么,杀毒软件也是瞎搞。。
      

  11.   

    找找相关代码吧,一般的都是Kill掉杀毒软件后再继续木马自己的工作。