RAR自解压格式结合vbs脚本免杀捆绑

首先我们必须要认识原理问题。捆绑，几乎都是先将文件释放后在逐个运行，所以被捆绑文件自身必须免杀。

否则，就算捆绑在一起免杀了，运行的时候，一释放，立刻就会被杀掉。

自解压的制作方法我就不说了，洪雨提一下需要注意的一个点。

在框选文件的时候一定要先选择木马，再选择掩护文件，否则报毒几率会高。掩护文件，最好就是杀毒软件自身。

假如我们制作的自解压捆绑文件为1.exe。

如果我们直接设置成解压后运行捆绑的文件，很大程度会被杀。

所以我们需要用到一个vbs来运行木马和伪装程序。将1.exe和vbs文件进行二次自解压捆绑

这次制作过程中设置解压后运行vbs文件。

vbs文件用的是下面的代码。

On Error Resume Next

Set objWsh = CreateObject("Wscript.shell")

objWsh.Run "c:\1.exe    C:\",0,true 

WScript.Sleep 3000 

objWsh.Run "c:\360sd_se_3.1.0.3073L.exe C:\" ,0,true

objWsh.Run "c:\X7server.exe C:\" ,0,true

代码的意思很简单，解压后会释放1.exe的捆绑文件，和vbs文件。

vbs运行后，运行1.exe文件。1.exe文件运行后会自动释放木马和伪装文件。

vbs会延迟3秒钟后再运行伪装文件，然后运行木马。

运用vbs来执行运行的命令，经过二次捆绑实现了捆绑运行免杀的效果。