处:比特网 作者:Simeon
通过本案例可以学到:
(1)了解chm相关知识
(2)利用电子图书CHM文件来制作木马程序
比特网专家:虽然电子图书捆绑木马攻击方式有些陈旧,但是在早期的攻击中,其攻击效果还是比较显著,但其思路非常好,目前很多资料都是采用chm格式,因此通过chm来进行社会工程学攻击,其效果仍然不减当年。本案例主要通过反编译一个chm文件,然后在chm文件中加入一段代码。该段代码的主要功能就是在阅读者打开chm文件的同时执行木马程序。
Chm是目前最为流行的电子图书格式之一,CHM格式的电子图书是将HTML网页、图像、声音等多媒体文件通过一些专用的编译软件编译成一个单一的文件,文件后缀未Chm。常见的CHM编译软件有QuickCHM等,反编译软件有ChmDecomplier等。
1.选择一个chm文件,执行反编译。在本案例中使用ChmDecomplier软件直接反编译chm文件,将“ChmDecomplier”和“QuickCHM”软件安装在系统中,要反编译CHM文件,直接选中CHM文件,右键单击在弹出的菜单中选择“ChmDecomplier”-“解压缩到单独的目录中”即可。
2. 编辑chm文件中的首页文件,加入木马程序代码。首页文件是指打开CHM文件后第一个需要运行的Html文件,在HTML文件中标签后加入下面的代码,如图1所示。
图1加入木马程序代码
3. 编辑hhp文件。在hhp文件中加入木马程序所在路径以及名称,一般直接将木马程序复制到CHM反编译以后的文件目录中,在本案例中文件名称为53.exe,如图2所示。
图2 编辑hlp文件
4.重新编译chm文件。保存文件所做修改,打开“QuickCHM”CHM编译软件,打开反编译时所生成的hhp文件,然后导入文件,导入文件时一定要选择所有的文件,否则不会将木马软件编译到CHM文件中,如果导入文件成功则会在左边的窗口中进行显示,如图3所示,单击绿色的运行按钮进行编译,编译成功后,会进行提示询问是否要运行测试。
图3重新编译CHM文件
5.测试chm木马文件。直接打开编译成功的chm木马文件,如果Windows 2000以下系统不会进行任何提示,表面上看起来是运行的CHM文件,实际上53.exe程序也运行了,如果是Windows XP系统则会进行报警提示,如图4所示。
图4 安全警告提示
传播chm木马文件。将chm木马文件上传到网站、Ftp服务器、BT、emule等,当用户将其下载到本地打开后将会执行木马程序。
说明
目前对于WindowsXP以上版本操作系统,在打开chm文件时都会提示用户,在chm中有一个exe文件是否需要运行,因此chm木马文件在Windows 2000 系列操作系统中的攻击成功率较高。
小结
本案例主要通过反编译chm,通过修改其反编译后的html等文件,在其中加入打开木马的代码,然后进行编译,编译成功的chm文件中包含了木马程序,当用户打开时,就会执行木马程序。Chm捆绑木马对木马程序要求很高,目前很多杀毒软件都会对chm进行查杀。
阅读(2999) | 评论(0) | 转发(0) |
