利用winrar自解压捆版payload制作免杀

大家在制作捆版马儿时碰到一个问题大多捆绑软件本身就会被杀软查杀，即便捆绑两个正常软件也会被查杀。今天给大家分享一个利用winrar实现免杀的捆绑技术。（配合免杀马儿捆绑效果更佳～）

方法仅供参考，适用于已授权的渗透测试、红队评估、攻防演练，请勿用于其他非法途径。

1、首先大家先通过coblatstrike 生成一个马儿“qq.exe”。然后准备一个flash的安装程序。

2、鼠标右键，添加到压缩文件。点击创建自解压格式压缩文件。rar就会变成exe后缀的文件。

3、点击高级自解压选项，常规

解压路径->绝对路径

C:\windows\temp。

4、设置

提取后运行

C:\windows\temp\qq.exe

C:\windows\temp\flashplayer_install_cn.exe

5、模式

安静模式->全部隐藏

6、更新

更新方式->解压并更新文件

覆盖方式->覆盖所有文件

7、点击确定按钮，在点击确定按钮生成"新建文件夹.exe"

8、修改文件名为flashplayer_install_cn.exe。这时候已经可以使用了，只是太丑。另一个神器出现“ResourceHacker”。

通过ResourceHacker打开原版的flash安装程序，点击Icon Group文件夹中的文件，鼠标右键保存“*.ico资源”，即可导出ico图标。

9、利用同样的方法打开制作好的钓鱼马儿，找到“Icon Group”,鼠标右键，“替换图标”，选择导出的flash.ico，确认之后点击左上角的“文件”->“保存”即可。

这时候一个完美的捆绑马儿就做好了。等到鱼儿上钩即可。下面是运行截图，伪装的非常完美，全程无感知，大家可以试试。

作者：梦屿千寻个人博客 （文章转载请注明来自：IT同路人论坛）