标题: VBS自变形【高手指点下】 [打印本页]

---

作者: czceo     时间: 2009-4-16 04:23    标题: VBS自变形【高手指点下】

最近在研究VBS免杀，听说有个叫自变形的家伙。
就是没运行一次，代码自动改变！
真的很神奇
源代码：
str="cswpire.tohcO"" ""!K"
for i=1 to len(str) step 3
rev=rev+strreverse(mid(str,i,3))
next
execute rev

同样功能不过是自变形：
str="wscript.echo ""OK!"":randomize:key=int(rnd*8+2):str=rev:str=replace(str,chr(34),chr(34)+chr(34)):set aso=createobject(""ADODB.Stream""):with aso:.open:.writetext ""str=""+chr(34)+str+chr(34)+"":key=""+cstr(key)+"":str=rev:execute str:function rev():for i=1 to len(str) step key:rev=rev+strreverse(mid(str,i,key)):next:end function"":.savetofile wscript.scriptfullname,2:end with":key=1:str=rev:execute str:function rev():for i=1 to len(str) step key:rev=rev+strreverse(mid(str,i,key)):next:end functi

【以上只是一句】
保存VBS运行后，再看看源代码，竟然变了！
再执行，又变成其他样子了。这个脚本是自变形的。

版主进来帮忙解释下，以后好用灵活运用啊！
希望得到一份详细的关于自变形的教程。
不知道此VBS代码编译或成 EXE还能达到自变形的效果吗？

---

作者: HAT     时间: 2009-4-16 04:43
这个，还是别话时间研究这些没用的东西了，不管你怎么变形，人家拦截一下execute就原形毕露了。

---

作者: czceo     时间: 2009-4-16 04:50
HAT不是这个问题啊！
如果可以自变形，就算他拦截，还是可以起到一段时间内自动免杀啊！
要不总要手工免杀自己的插件太累啊！
求版主赐教！

---

作者: HAT     时间: 2009-4-16 07:09    标题: Re 3楼

哦，原来是这样啊。那就抱歉了，本人不为任何关于木马、病毒、免杀等话题提供技术帮助。