为什么要魔改工具？

• 生成的代码很容易被监测

• 生成的后门很容易被杀软杀掉
  
  

了解冰蝎流量特征

开启http代理，数据经过BP抓包进行分析数据

冰蝎数据包分析：

1、三个请求头固定

• Accept
• Accept-Language
• User-Agent（内部有十个，来回替换）

2、请求正文固定6种加密算法

所以，这些热门工具的数据包人尽皆知，安全设备也都会加以防范，那只能自己开发工具，或魔改现有工具来进行绕过安全设备的检测

魔改过程

准备环境

1. 将冰蝎的jar包进行反编译，网址https://www.decompiler.com/ ，拖拽上去即可，等一段时间将反编译文件下载
   

2. 反编译的文件在idea工具中打开，使用1.8的JDK
   当在使用 JavaIDEA 运行一个包含 JavaFX 的 JAR 包时出现缺少 JavaFX 运行时组件的错误时，可能是因为 JavaIDEA 默认情况下不包含 JavaFX 运行时组件。 JavaFX 在较新的 Java 版本中已从 JDK 中分离出来，并成为一个独立的模块。所以这里使用1.8版本的JDK
   

   添加依赖，将原冰蝎文件里的jar包导入

   

   
   

   选择工具主导

   

开始魔改

1. 搜索关键字，定位需要更改的地方
   

2. 复制需要更改的文件到其他目录，不然无法编译（这里我复制到src目录下）
   

   构建项目

   

   构建工件

   

   最后将原冰蝎目录下的data.db文件复制到src目录下

3. 运行后发现成功更改
   修改前
   
   修改后
   

4. 修改加密算法
   搜索算法文件位置
   

   算法长这样

   [{"encode":"private byte[] Encrypt(byte[] data) throws Exception\n{\n    String key=\"e45e
   

   

   可以直接在工具中添加，问GPT加解密后的代码即可

   

   设置复杂加密方式，生成的后门即可做到免杀效果