对于一个初级木马作者来说,最头痛就是关于木马免杀的时间问题.
首先抛开主动防御不说,就说源码的一些敏感函数.杀软可能逮着就把你kill掉了.根据自己长期总结.发觉杀软是采用记分制来判断你是不是病毒或者木马的.比如"URLDownloadToFile"是一个比较敏感的函数.可能大部分杀软一见到它就报警了.或者说一个木马有十分的话,就先给它记上4分.如果再次遇到"ShellFcuntion"的话,杀软就给你判定你这是一个下载者了,它就那么轻松.我们就用这两个函数,不想用其他方法的话就得想想办法了...把两个函数分开,不要放在一个文件里面.弄成一个exe跟一个dll, URLDownloadToFile运行完了之后再调用dll,dll里面的功能就只是执行一下下载下来的文件就OK了,当然.这样子做只是降低了一些风险.还远远不够达到免杀的目的.
再接着下一步,把两个函数的api地址都hook出来,hook函数的方法有很多,我就贴一个我自己比较常用的方法出来吧.
HMODULE hMod = 0;
hMod = LoadLibrary("URLMON.DLL"); ...