以前不是经常开玩笑说什么发一个 简历.exe 吗,今天就来教一下大家怎么实现
1.前置工具
- Resource Hacker
- SigThief-master
Resource随便搜都能下载,另外一个的下载链接在这里
secretsquirrel/SigThief: Stealing Signatures and Making One Invalid Signature at a Time (github.com)
2.详细信息的添加
首先我们可以去找一个dll文件(这个随便你) 这里我就以下面这一个DLL为例了
首先不管你是loader还是不分离也好,我们用VS生成出来的是这样的
然后我们打开Resource Hacker,把文件拖进来
然后我们去添加资源,找到刚才的dll并且导入
control + S 保存
这样我们的exe就能初见端倪,有一定的详细信息了!!!
3.自签名的添加
有了详细信息还不够,这时候我们还要打上自签名!! 我们用刚才说到的那个工具
python sigthief.py -i "C:\Users\ASUS\AppData\Local\Temp\s5au2jna.xkn\resources\app\ServiceHub\Services\Microsoft.VisualStudio.Setup.Service\zh-Hant\VSInstallerElevationService.Contracts.resources.dll" -t D:\vs\AV\x64\Release\AV.exe -o 简历.exe
其中 -i 是指来自要自签名的原程序 -t 就是你的木马 -o 就是输出格式
这样我们就能得到一个有数字签名的程序了(虽然是无效的,但是也能骗过部分杀软)
4.添加图标
1.VS添加
我们直接在写loader的时候其实就能添加
然后我们生成的就是一个有图标的exe了
2.Resource Hacker添加
你也可以通过Resource Hacker添加,首先还是脱入exe,并且导入模块
这里我选择酷狗音乐的图标
control + S 就能看见了
5.效果展示
有人说,你这个图标有用吗,都是偷的,我们直接上效果图展示一下
1.VT
没有任何信息
有图标有签名有详细信息(但是反而我们能看见猎鹰从60% ----> 90% 所以这些事情并无绝对)
2.微步
纯裸
有签名有信息有图标
微步好像没什么区别,这个检测到了枚举线程,写个抗沙箱就过了!
总之,图标还是可以随便加的,但是最好还是慎重添加自签名和详细信息