三、隐藏 随着杀毒soft病毒库的升级,木马会很快被杀毒soft查杀,所以为了使木马服务端避开杀毒soft的查杀,长时间的隐藏在别人的电脑中,为骇客提供几种可行的办法。 1.木马的自身保护 就像前面提到的,黑洞2004在生成服务端的时候,用户可以更换图标,并使用softUPX对服务端自动进行压缩隐藏。 2.捆绑服务端 用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起,达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等。 3.制做自己的服务端 上面提到的这些方法虽然能一时瞒过杀毒soft,但最终还是不能逃脱杀毒soft的查杀,所以若能对现有的木马进行伪装,让杀毒soft无法辨别,则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩soft对服务端进行加壳保护。例如1中的UPX就是这样一款压缩soft,但默认该soft是按照自身的设置对服务端压缩的,因此得出的结果都相同,很难长时间躲过杀毒soft;而自己对服务端进行压缩,就可以选择不同的选项,压缩出与众不同的服务端来,使杀毒soft很难判断。下面我就以冰河为例,为大家简单的讲解一下脱壳(解压)、加壳(压缩)的过程。 如果我们用杀毒soft对冰河进行查杀,一定会发现2个病毒,一个是冰河的客户端,另一个是服务端。使用soft“PEiD”查看soft的服务端是否已经被作者加壳,可以看到服务端已经使用UPX进行了压缩。 现在,我们就需要对soft进行脱壳,也就是一种解压的过程。这里我使用了“UPXUnpack”,选择需要的文件后,点击“解压缩”就开始执行脱壳。
脱壳完成后,我们需要为服务端加一个新壳,加壳的soft很多,比如:ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例,点击“打开”按钮,选择刚刚脱壳的服务端程序,选择完成后ASPack会自动为服务端进行加壳。再次用杀毒soft对这个服务端进行查杀,发现其已经不能识别判断了。如果你的杀毒soft依旧可以查杀,你还可以使用多个soft对服务端进行多次加壳。笔者在使用Petite和ASPack对服务端进行2次加壳后,试用了多种杀毒soft都没有扫描出来。现在Network中流行的很多XX版冰河,就是网友通过对服务端进行修改并重新加壳后制做出来的。 为了避免不熟悉木马的用户误运行服务端,现在流行的木马都没有提供单独的服务端程序,而是通过用户自己设置来生成服务端,黑洞2004也是这样。首先运行黑洞2004,点击“功能/生成服务端”命令,弹出“服务端配置”界面。由于黑洞2004采用了反弹技术(请参加小知识),首先单击旁边的“查看”按钮,在弹出的窗口中设置新的域名,输入你事先申请空间的域名和密码,单击“域名注册”,在下面的窗口中会反映出注册的情况。域名注册成功以后,返回“服务端配置”界面,填入刚刚申请的域名,以及“上线显示名称”、“注册表启动名称”等项目。为了迷惑他人,可以点“更改服务端图标”按钮为服务端选择一个图标。所有的设置都完成后,点击“生成EXE型服务端”就生成了一个服务端。在生成服务端的同时,soft会自动使用UPX为服务端进行压缩,对服务端起到隐藏保护的作用。 服务端生成以后,下一步要做的是将服务端植入别人的电脑?常见的方法有,通过系统或者soft的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带,把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹,通过P2Psoft(比如PP点点通、百宝等),让网友在毫无防止中下载并运行服务端程序。 由于本文主要面对普通的Network爱好者,所以就使用较为简单的Email夹带,为大家进行讲解。我们使用大家经常会看到的Flash动画为例,建立一个文件夹命名为“好看的动画”,在该文件夹里边再建立文件夹“动画.files”,将木马服务端soft放到该文件夹中假设名称为“abc.exe”,再在该文件夹内建立flash文件,在flash文件的第1帧输入文字“您的播放插件不全,单击下边的按钮,再单击打开按钮安装插件”,新建一个按钮组件,将其拖到舞台中,打开动作面板,在里边输入“on (press) {getURL("动画.files/abc.exe");}”,表示当单击该按钮时执行abc这个文件。在文件夹“好看的动画”中新建一个网页文件命名为“动画.htm”,将刚才制作的动画放到该网页中。看出门道了吗?平常你下载的网站通常就是一个.html文件和一个结尾为.files的文件夹,我们这么构造的原因也是用来迷惑打开者,毕竟没有几个人会去翻.files文件夹。现在我们就可以撰写一封新邮件了,将文件夹“好看的动画”压缩成一个文件,放到邮件的附件中,再编写一个诱人的主题。只要对方深信不疑的运行它,并重新启动系统,服务端就种植成功了。
四、防止 防止重于治疗,在我们的电脑还没有中木马前,我们需要做很多必要的工作,比如:安装杀毒soft和Network防火墙;及时更新病毒库以及系统的安全补丁;定时备份硬盘上的文件;不要运行来路不明的soft和打开来路不明的邮件。
最后笔者要特别提醒大家,木马除了拥有强大的远程控制功能外,还包括极强的破坏性。我们学习它,只是为了了解它的技术与方法,而不是用于盗窃密码等破坏行为,希望大家好自为之。
PC捍卫者登载此文章仅为传播更多个人电脑安全信息之目的,并不代表本站同意文中的立场,观点,更不鼓励读者按照文中办法去实际施行.
转截请注明:文章来自 pc捍卫者 http://www.pchwz.com
本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点
