黑客种植木马的方法及防范策略(3)

　　视频监控和语音监听：如果远程服务端电脑安装有USB摄像头，那么可以通过它来获取图像，并可直接保存为Media Play可以直接播放的Mpeg文件；需要对方有麦克风的话，还可以听到他们的谈话，恐怖吧？

　　除了上面介绍的这些功能以外，还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能，操作都非常简单，明白了吧？做骇客其实很容易。

　　三、隐藏

　　随着杀毒软件病毒库的升级，木马会很快被杀毒软件查杀，所以为了使木马服务端辟开杀毒软件的查杀，长时间的隐藏在别人的电脑中，在木马为黑客提供几种可行的办法。

　　1.木马的自身保护

　　就像前面提到的，黑洞2004在生成服务端的时候，用户可以更换图标，并使用软件UPX对服务端自动进行压缩隐藏。

　　2.捆绑服务端

　　用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起，达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等。

　　3.制做自己的服务端

　　上面提到的这些方法虽然能一时瞒过杀毒软件，但最终还是不能逃脱杀毒软件的查杀，所以若能对现有的木马进行伪装，让杀毒软件无法辨别，则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如Step1中的UPX就是这样一款压缩软件，但默认该软件是按照自身的设置对服务端压缩的，因此得出的结果都相同，很难长时间躲过杀毒软件；而自己对服务端进行压缩，就可以选择不同的选项，压缩出与众不同的服务端来，使杀毒软件很难判断。下面我就以冰河为例，为大家简单的讲解一下脱壳（解压）、加壳（压缩）的过程。

　　如果我们用杀毒软件对冰河进行查杀，一定会发现2个病毒，一个是冰河的客户端，另一个是服务端。使用软件“PEiD”查看软件的服务端是否已经被作者加壳。

　　现在，我们就需要对软件进行脱壳，也就是一种解压的过程。这里我使用了“UPXUnpack”，选择需要的文件后，点击“解压缩”就开始执行脱壳。