免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任!

前言

魔改冰蝎可以更改流量特征以及添加自己的加密协议，从而达到免杀的效果，因为强特征杀毒软件很容易识别，当我们修改了特征它就无法判断是否为恶意流量，更改协议也是一个道理，杀毒软件病毒库里面已经存放了冰蝎中内置的6个加密协议。

工具反编译

通过在线工具进行反编译（挂梯子会比较快） 在线工具：https://www.decompiler.com/

特征混淆

1. 特征分析 开启代理利用burp进行分析，Accept、Accept-Language、User-Agent三个固定特征，UA头内置的随机10个。

public static String[] userAgents = new String[]{"Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36", "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0", "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36", "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36 Edg/99.0.1150.55", "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36", "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0", "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36", "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36", "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0", "Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"};

2. 特征修改(idea简单的设置)

第一步设置项目的jdk版本，我设置的是1.8版本的jdk

第二部导入模块

第三步设置主类

还需要把原文件中的数据库文件复制到主文件中

做完了后就可以修改特征

不能直接在文件中改需要把整个路径复制到src文件中，把不需要修改的文件可以删掉，不然构建的时候会很慢

我修改了accepts特征（但是我在后面使用软件出错后我就只修改了这个文件的版权，特征是在shell文件中修改的）

UA特征在shell文件中

修改好了后就可以构建模块了

构建工件

直接运行

查看更改的特征,可以不用更改con的那个文件直接修改shell文件（我更改了con的文件发现不能打开shell）

加密协议

加密协议和解密协议可以利用chatgpt来写

在传输协议配置中点击新建

保存后点击分享

通过全局查找找到了内置的6个加密协议的存放路径

把这个目录复制到src中后在把刚刚保存的加密协议放在这个目录然后重新构建

也可以生成php类型

总结：说一下我在魔改过程中遇到的一些问题，我的项目中设置的java1.8_02版本，接没有找到主类main，换成java_03后才找到，不然在idea中下载java环境，我最开始是在idea中下载，后面还是遇到了环境问题，我才去官网下的其它版本，遇到问题可能就是java版本问题，后面用chatgpt生成加密协议的时候一直不行，后面把中文注释去掉后就能成功，因为我安装的是phpstudy不能解析jsp文件所以只测试了php文件。