AngelShell木马使用方法(3)

　　对文件捆绑技巧，大家应该再熟悉不过了，正是因为它的流行，才造就了一批批木马的扩散，不过树大招风，在杀毒软件的围剿下，捆绑方式已经面临淘汰。然而，正所谓“野火烧不尽，春风吹又生”，随之而来的新“植入”方式也诞生了（即程序插入技术）。

　　运行主程序RobinPE.exe后（图3），我们在“后门文件”栏中选择了刚才生成的name.exe，然后在“整体植入”栏中选择一个合法的应用程序。软件会自动计算后门的空间和原程序的空间，并且会根据它们的大小得出结论，如果可以植入就会提醒我们“可以试试”。不过，我们生成的name.exe在经过EncryptPE压缩后只有十几KB，非常容易实现植入。图3

　　提示：整体植入是将文件植入到一个exe文件之中。以后每次正常启动文件，我们植入的文件就会悄悄的生成并执行。

　　设置完毕，点击“开始植入”就完成了木马植入工作。现在，当对方运行看似“合法”的程序时，木马早已悄悄安家落户了。

　　随着这一步的完成，我们的木马程序就已被包装得有模有样了，不仅有了可以躲避杀毒软件的马甲，更有可以躲过被攻击者双眼的“合法”的外衣。如此一来，最后生成的这个看似合法的程序实际上就是我们的“完美后门”了。

　　通过以上三个步骤的改造，试验对象“AngelShell”（也可以是其他任何一款木马程序）如虎添翼，对方想不中招都不行。这也说明了我们身边有些工具在单独使用时看似简单无用，其实不然，只要我们有目的性地，巧妙地结合它们，这样所创造出来的威力是不容小视的。

　　希望广大读者能够真正体会到木马世界的千变万化，做到真正的“举一反三”、“一通百通”。

　　小知识：AngelShell木马

　　我们知道，网上能穿透硬件防火墙的后门程序非常少。但是，AngelShell不仅可以穿透防火墙实现反向连接，而且它还可以让所有正向连接的程序都实现反向连接。

　　AngelShell的另外一个特色就是它能开启一个专门用来保护自己的线程。它能每隔0.2秒就检查一次注册表，一旦发现对自己不利的修改都会进行阻止。另外，程序的加载采用服务共享的方式，程序在启动之后是无法停止的，所以中招者无法停止服务也无法修改它的属性，除了重装系统没有其他的清除办法。如此强大的自我保护功能，非常有利于我们长期控制肉鸡。