利用winrar自解压捆版payload制作免杀

在制作捆版马儿时，许多人会遇到一个常见的问题，即捆绑软件本身会被杀毒软件检测到，即使捆绑的是两个正常软件也难逃查杀。今天，我将分享一种利用winrar实现免杀的捆绑技术。这种方法在搭配免杀马儿时效果尤佳。

请注意，以下方法仅供参考，适用于已授权的渗透测试、红队评估和攻防演练，请勿用于其他非法途径。

1、首先，使用CobaltStrike生成一个名为“qq.exe”的马儿，并准备一个Flash的安装程序。

2、右键点击文件，选择“添加到压缩文件”。在弹出的窗口中，选择“创建自解压格式压缩文件”，这样RAR文件就会变成EXE后缀的文件。

3、点击“高级自解压选项”，选择“常规”选项卡。

解压路径选择“绝对路径”，设置为：

C:\windows\temp。

4、在“设置”选项卡中，选择“提取后运行”，并设置以下路径：

C:\windows\temp\qq.exe

C:\windows\temp\flashplayer_install_cn.exe

PatentPal专利申请写作

AI软件来为专利申请自动生成内容

13

查看详情

5、在“模式”选项卡中，选择“安静模式”并设置为“全部隐藏”。

6、在“更新”选项卡中，选择“更新方式”为“解压并更新文件”，并将“覆盖方式”设置为“覆盖所有文件”。

7、点击“确定”按钮，再次点击“确定”按钮，生成名为“新建文件夹.exe”的文件。

8、将文件名修改为“flashplayer_install_cn.exe”。此时文件已经可以使用，但外观不够美观。接下来，我们将使用“ResourceHacker”这个工具。

通过ResourceHacker打开原始的Flash安装程序，点击“Icon Group”文件夹中的文件，右键保存“*.ico资源”，即可导出图标文件。

9、使用相同的方法打开制作好的钓鱼马儿，找到“Icon Group”，右键选择“替换图标”，选择刚才导出的“flash.ico”，确认后点击左上角的“文件”->“保存”。

这样，一个完美的捆绑马儿就制作完成了。等到鱼儿上钩即可。以下是运行截图，伪装得非常完美，全程无感知，大家可以尝试一下。

作者：梦屿千寻个人博客（文章转载请注明来自：IT同路人论坛）

以上就是利用winrar自解压捆版payload制作免杀的详细内容，更多请关注php中文网其它相关文章！