1
crab 2021-08-25 23:08:45 +08:00
你可以看看 Gh0st 源码
|
2
songer 2021-08-26 00:18:57 +08:00
一般是提前编译的成品,然后查找填充字符比如 xxxxxxxxxxx 替换上线 IP,端口。
|
3
xupefei 2021-08-26 02:52:15 +08:00 via iPhone
申请一个长字符串填上特殊符号,生成客户端时在 exe 里搜索那串符号替换成真正的字符串,末尾写个\0
|
4
levelworm 2021-08-26 04:41:52 +08:00 via Android
shellcode?
|
5
nyfwan123 2021-08-26 08:49:19 +08:00
这不就是 shellcode 吗
|
6
Gloomyer 2021-08-26 09:52:46 +08:00
原理 建议学习下 PE 结构
|
7
newmlp 2021-08-26 10:39:14 +08:00
都是打包编译好的,然后替换一下 ip 端口字段啥的就行了
|
8
opentrade 2021-08-26 10:45:32 +08:00
另外的做法是加密后放在文件名里。
|
9
2i2Re2PLMaDnghL 2021-08-26 15:35:38 +08:00
在 .data 段里放一个字符串存配置即可
有时也能在 exe 最后带一段内容,运行起来之后去读就行 不过无论何种都会破坏签名,所以都是 UAC 黄框,#8 的方法可以保持 UAC 蓝框。 |
10
janxin 2021-08-26 17:19:15 +08:00
搜索关键词“PE 附加数据”
|