[转载]土法制作免杀黑洞

文章作者：imhere

昨天厚着脸皮与辉哥索要PE加密个人版，得到答复是需要100大洋，晕到.......联想到几天前我还投票赞成收费，这个郁闷呀......
在家里憋气憋了几天，终于给憋出一条土方法来保护咱可爱的黑洞马儿。中秋来临，谨以此篇与我们这些既没本事又没钱的弟兄们共享，
高手们就请便吧！
适用范围：7.12正式版EXE服务端适用，其余版本未作测试，好象演示版有自校验是不行的。
防毒测试：通过最新KV查杀，瑞星在线查杀（文件查毒和内存查毒）、卡巴斯基文件在线查毒
土法步骤：1、用7.12正式版配置好生成EXE服务端文件，这里文件名假设是hd.exe;同时要记住配置时的程序安装路径和程序安装名称，
这里我们假设路径是在根目录下C:\winnt,程序安装名称是update.exe;
2、给服务端文件hd.exe脱壳，黑洞早期的壳是upx的，好脱一点，最新的9.15演示版我就没脱得了，郁闷...如何脱黑洞壳网上有资料，我就不罗嗦了；
3、给hd.exe加壳，这个加壳工具很重要，我用的是asprotect1.31(5.18)版本，这个版本太猛了，猛得加了后黑洞都不能正常运行了，这里我要的就是这个效果。在自己机器上运行hd.exe,这个时候我的机器上线了，请注意，这时hd.exe 并没有象通常那样消失并生成安装程序update.exe，我们发现hd.exe仍然存在并且在运行，
同时在注册表run键下又生成c:\winnt\update.exe的启动键值，system32目录下生成findriv.dll,但是安装程序update.exe没有生成，如果重启的话就不能再次上线了。
4、这时我们耍了个小聪明，把服务端文件名改成和安装程序名一致，即把hd.exe改成update.exe，并且路径与程序安装路径一致c:\winnt,这样如果重启的话，还会重新上线；
5、我们做查毒测试，用瑞星在线查毒查内存和文件没有查出，用江民KV2004一查，晕，findriv.dll被查杀，黑洞又不能上线了；
6、如法泡制，尝试给findriv.dll脱壳加壳，它也是UPX壳，用黑洞脱壳的办法来吧！...晕，脱不了，原来这里用upxfix时选取的节数应该是2而不是5...同样加上asprotect壳，体积竟然比upx壳大了近5倍，达122K，不管了，好用就行，用kv、瑞星、卡巴不能查出；
7、把findriv.dll放回system32目录下，记住要修改它的属性，改成只读、系统、隐藏文件。再次运行服务端文件update.exe(hd.exe),ok,一切正常，用kv查，查个鬼呀！！！重启，上线，各项功能正常。
8、至此，土法制作的免杀黑洞就完成了，菜鸟同学们鼓掌呀......
至于如何在肉鸡上运用，嘿嘿，不至于还要我再罗嗦吧....