文件免杀之PE头移位|黑客技术流

今天给大家讲解一下PE头移动免杀。了解过二进制可执行文件的朋友应该都知道，二进制可执行文件是属于PE结构体。PE结构体是一个相对复杂的文件结构，我这里把一个C++木马程序拖进C32里面给大家简单的介绍一下。

image

PE文件分为五个部分 Dos头 、Dos模块、PE头、区段表、还有对应的区段，我讲的这些你大概了解一下就行了。接下来我们主要对PE头下黑手了，PE头默认大小是224个字节。我们需要把PE头向上移动一行，以及修改记录PE开始位置的数据 和 记录PE大小的数据。本文章转载至《黑客技术流》

image

可以从下图看到，我首先是把PE头位置先向上移动一行。那么PE头的大小现在就是增加到了240个字节，240个字节是10进制的表示形式。我们需要把240从10进制转换成用16进制表示，那么经过转换后的240就变成了F0。确定了他的大小接下来我们就需要修改记录它大小的数据了，之前记录PE大小的数值是E0现在被我修改成了F0。

image

如果上面的步骤你都已经完成了，那么接下来就剩下最后一步修改记录PE头开始位置的数据。可以看到之前是记录值是F0开始的，现在已经被我修改成了E0 然后点击保存文件。

image

经过上面的步骤我们已经成功的完成了PE头的移位工作，接下来就是需要运行一下你PE头移位后的程序。看一下程序还能不能正常运行，如果程序不能正常运行说明你还没有修改正确需要继续修改。最后能不能免杀完全取决你的配合了，这也是一种相对比较简单基础的一种免杀方法。