首发于 http://mapers.net/t/topic/328

两年前的一个点子，今天正好有时间。

前提：
你得马得免杀，而且我的工具是花几分钟随手写的，可能不靠谱。
其中增大文件我用的是在文件尾部增加空白数据，我记得这会被360给提示的，如果不想提示就自己写个添加随机数据的吧。反正winrar也能压缩

原理：
原理很简单，说出来可能会被笑。就是利用winrar的压缩+自解压把扩大体积后的免杀木马文件给怼成一个压缩包，因为被压缩了所以体积很小，再加上设置了密码所以即使被上报了360的云也无法自动检测出什么来。然后把压缩包追加到一个解压的壳后面又壳释放运行/
缺点：
虽然壳体积才6kb，但是加上winrar.exe体积就大了，至少300kb，所以你的文件最终体积可能是 你的木马体积+6kb壳的体积+200+winrar.exe体积，300+kb体积可是非常大的，可能某些条件下很难接受
怕手工分析，手工分析立刻翻水水。

P.S ： 我只考虑防上报，免杀和过主防不在此考虑范围。壳是随便写的，所以压缩包内木马文件名称得是server.exe，不然无法启动木马，并且压缩包密码只支持coinkboom（逃

下面正式开始，首先，先找到我们的免杀马（好早之前写的，貌似不过主防），增大体积，并且给测试查杀

然后打包为压缩文件并添加密码

最后体积只有121kb，hhhhhhh

最后拉出我们的壳：

惨不忍睹啊惨不忍睹，壳本身6kb，加上rar.exe瞬间这么大了。有机会我写一个把rar.exe弄成远程下载的把。
最后利用cp把两个文件合并,得到最终的木马文件。

最后丢到虚拟机执行并且开启上报，成功执行木马。

查看上报区，空空如也

毕竟40mb的东西也不好上报。
基本就这样啦。

壳在这里：链接: http://pan.baidu.com/s/1qXZh9zI 密码: wt92

就是这样辣，一个没啥用的小玩意_(:з)∠)_