Chinaunix首页 | 论坛 | 博客
  • 博客访问: 975363
  • 博文数量: 186
  • 博客积分: 26713
  • 博客等级: 上将
  • 技术积分: 2156
  • 用 户 组: 普通用户
  • 注册时间: 2006-04-26 15:15
文章分类

全部博文(186)

文章存档

2010年(186)

分类:

2010-03-19 10:36:44

出处:比特网 作者:Simeon
  通过本案例可以学到:
  (1)了解文件捆绑的相关知识
  (2)利用“用IExpress”捆绑木马文件
  比特网专家:文件捆绑攻击主要是在正常的Exe中捆绑一个木马程序,当用户打开被捆绑的木马程序后,会同时执行正常程序和木马程序,由于木马程序执行时无窗口等,因此隐蔽性较高,文件捆绑需要解决的主要技术就是防范杀毒软件对捆绑程序以及木马程序的查杀。本案例以IEexpress安装制作程序为例来制作一个带木马程序的应用程序。
  1.准备原材料
  利用Iexpress捆绑木马文件来进行攻击,首先需要准备有吸引力的文件,被攻击者一看到这些文件,就毫不犹疑的去执行。本案例仅仅是为了说明捆绑文件攻击的思路,因此未对材料进行精心选择,随机准备一个软件。
  2.运行Iexpress,选择自压缩指导文件(SED)
  本案例使用的是汉化版Iexpress,解压缩Iexpress后,直接运行“IExpress”即可启动IExpress程序。在开始的时候会有两个选项供选择,一个是“创建新的自解压缩指导文件”,另一个是“打开现有的自压缩指导文件”,如图1所示。在本例中选择第一项,然后点击“下一步”按钮。

  图1选择自压缩指导文件
  3.选择软件包的最终目的
  在选择软件包的最终用途中有“将文件解开并运行安装命令”、“仅将文件解开”和“仅创建压缩文件(ActiveX安装)”三种选择。在本例中所制作的是木马解压包,所以应该选择第一项,如图2所示。

  图2 选择软件包的最终目的
  4.输入软件包标题
  在软件包标题中输入“最牛逼的系统密码获取软件”后,单击“下一步”,在“确认提示”中,软件会询问在木马程序解包前是否提示用户进行确认,由于制作的是木马程序的解压包,当然越隐蔽越好,选择第一项“不提示”,这么做的目的是让中招人毫无防备。单击“下一步”按钮,在接下来的添加“用户允许协议”中添加一个伪装的用户协议迷惑中招者,选择“显示用户允许协议”,单击“浏览”选择一份编辑好的TXT文档,,设置完毕后点击“下一步”。
  5.选择打包文件
  在打包文件中,单击击该窗口中的“添加”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序,在本案例中选择的合法程序是“LSASecretsView”,木马程序是由“spyone汉化版”配置的木马服务端,添加完毕后如图3所示。

  图3 添加打包文件
  6.选择安装启动程序
  指定安装程序和安装结束后运行的程序。在安装程序中选择“LSASecretsView.exe”,该程序为主程序;在后安装命令中选择“svcr.exe”,如图4所示,该程序为木马程序。主程序(LSASecretsView.exe)执行后,再执行木马程序(svcr.exe),这样也就达到了木马捆绑的目的。

  图4 选择安装启动程序和后安装命令程序
  7.选择软件在安装过程中的显示窗口
  由于木马程序是和合法程序捆绑在一起的,所以选择“默认”即可,然后单击“下一步”,设置程序安装结束是否显示消息,由于在安装程序中捆绑了木马程序,因此选择“不显示消息”。
  8.设置自解压程序的保存位置和名称
  单击“浏览”按钮设置自解压程序制作完成后保存的文件名称和文件路径,然后选择“不向用户显示文件解压缩进度”,以便隐藏解压缩过程,有助于隐藏某些木马程序启动时弹出的命令提示框,如图5所示。

  图5设置自解压程序的保存位置和名称
  9.设置启动方式
  设置在软件安装完成后是否重新启动,可以根据实际需要来选择。如果你所用的木马是“即插即用”的,那么就选择“不重新启动”;如果所采用的木马用于开启终端服务,那么可选择“总是重新启动”,同时选择“重新启动前不提示用户”,如图6设置在软件安装完成后是否重新启动所示。

  图6设置在软件安装完成后是否重新启动
  10.制作自解压程序并测试木马程序
  在保存自解压缩向导中单击“下一步”按钮,即可开始制作木马自解压程序。整个制作过程是在DOS下进行的,在完成度达到100%后会弹出提示窗口,点击“完成”按钮,用IExpress制作免杀木马也就完成了,生成的木马跟正常的安装程序完全一样,如图7所示。

  图7制作成功的自解压木马程序
  开启“spyone汉化版”客户端程序并监听“888”端口,然后双击运行“最牛逼的系统密码获取软件.exe”,一会儿本机就上线了,如图8所示。

  图8 执行程序后木马上线
  说明
  很多流氓软件都是采用这种方式来制作,制作完毕的软件跟正常的安装软件什么区别,而且杀毒软件不会查杀,在安装这种捆绑有木马程序或者其它的程序时,首先执行指定的主程序,然后执行木马程序或者其它程序。
  小结
  本案例的要点是配置一个好的木马和选择一些好的原材料,制作过程非常简单,只需要简单的几步操作即可完成。使用IExpress捆绑木马程序制作完毕后,需要在本机或者虚拟机上进行测试,如果能够成功,则可以挂在互联网上任其下载,一旦有用户下载并执行,肉鸡也就会源源不断自动送上门。
阅读(3772) | 评论(2) | 转发(0) |
给主人留下些什么吧!~~

安何2010-04-10 21:03:09

kevin2632010-03-19 10:48:29

个人觉得这个估计能被查杀吧,除非修改木马特征码。