扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
好了,NTFS文件就生成了。难道这就是我们最后的结果吗?这和黑防原来介绍的NTFS数据流木马是同样的道理,只不过是用脚本实现的而已,没有什么新意嘛!别忘了文章标题,我们还有RAR没有使用哦!
蝴蝶:是不是觉得有点意外?天天与WINRAR打交道居然不知道它有这个功能。或许每个Windows的漏洞也在天天和人打交道,又有几个人发现了它们呢?
下一步出动我们的主角“WINRAR”,对着我们刚才用VBS做出来的文件夹点击右键,选择“添加到压缩文件”。
之后选择“生成自解压包”再选择“高级”选项卡,来到刚才图4那里,按图4那样勾选“保存文件流数据”,然后来到“自解压选项”里“常规”选项。注意在“解压后运行”项目中根据先前做得木马来填,如“muma:webdav.Exe”。在这里我注重的是讲解如何联合WINRAR构造木马,其它参数可根据个人喜好来填写。
到这里,这个木马基本上已经弄好了,只差一步:生成自解压包,大家点点鼠标就能实现了。下面是我已生成的文件的运行状态。
是不是觉得有点怪怪的?“WebDavScan”这个程序运行了,在进程中却没有见到它的踪影,只有“muma”这个刚生成的自解包的进程,可能秘密就在里面。由于这个程序是被KV2004列为病毒的,我们现在来看看能不能查出来。
如果是用WINRAR打包的文件流,KV2004是查不出来的,至于内存里也没有发现什么异常,看来这种方法还行得通哦!不过本文的只适合于Windows 2000以上的NTFS文件分区格式。
好了,文件就简单的介绍到这里了,大家现在可以方便的打造自己的不被杀的木马了!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。