扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
首先我给大家介绍今天的主角.一个名叫"秘密行动"的新工具,这个工具把常用的几个小程序集合于一身, 功能十分强大,可以完成捆绑程序,修改特征码,十六进制编辑及分割合并文件等.这次主要是利用这个新工具中集成的几个最新木马伪装技术,完成我们的木要马加密过程.下面就跟着我来一步一步将木马改造成超级无敌木马吧!
------------------------------------------------------
步骤一:增加字节法
我们都知道,杀毒软件是通过程序中某个位置的病毒特征码,来对文件进行识别判断是否是木马病毒的,改变了木马程序文件夹病毒特征码,就可以有效的躲过杀毒软件的查杀,更改木马的病毒特征码有几种方法, 比如直接用特殊的工具进行修改,或者进行加壳等,但是由于杀毒软件的病毒识别技术在不断的提高,杀毒软件往往都通过同时对几处病毒特征码进行识别,因此普照通的特征码修改方法已经失效了,这里要为大家介绍的是一种新方法-----增加字节法.
---------------------------------------------------
每个程序文件中都存在一些剩余空间,木马程序也不例外,我们可以向木马程序文件中增另一些空字节,从而改变文件的整个代码结构,但是并不影响程序的执行,由于程序的代码结构已经发生了变化,相应的病毒特征码位置也发生了改变,因此杀毒软件也无法对木马程序进行查杀了.
点击秘密行动程序界面中的"Add Bytes" (增加字节)按钮,在增加字节页面中输入要增加的字节数.默认的增加字节数是1000字节,但是过多的字节数会增加木马程序的体积,因此可以先增加一个比较小的字节数目击者.如果增加字节后,用杀毒软件检测能查出木马,那么再逐渐加大字节数.直到无法查出病毒为止.其实有时只需增加23个字节,就足以改变特征码让木马程序躲过杀毒软件了.
设置了合理的字节数后,点击"选择文件"旁的浏览按钮,浏览选择要进行增加字节处理的木马程序,然后点击"Add Bytes"按钮,即可在木马程序中增加指定的字节数了,这里我们和坂的是Pcshare生成的木马服务端程序,通过两次增加23个字节数后,用杀毒软件进行查杀,提示没有检测到病毒.
-----------------------------------------------------
步骤二:EXE文件巧变VBS
在windows系统中,默认情况下都安装了Wscript,因此可以执行VBS文件,如果我们将木马程序转化为VBS文
件后,由于许多杀毒软件不对硬盘中的VBS文件检测.因此木马程序就可以躲过病毒[URL=http://www.bingdun.com]防火墙[/URL]的眼睛,同时,将木马程序转化为VBS文件还有一个非常有利的地方,比如在获得一个溢出的shell窗口后,发现被溢出主机上安装了[URL=http://www.bingdun.com]防火墙[/URL],无法上传木马时,可以通过直接将VBS代码贴入shell窗口,在远程主机中写入一个VBS文件, 达到上传木马的目标.
-------------------------------------------------------
1.躲过杀毒软件
点击秘密行动程序界面中的"Create VBS"按钮,在VBS文件生成页面中点击"选择文件",指定木马程序文件后,将自动显示输入VBS文件名.点击"Make script"按钮,程序就会自动将EXE文件转化为VBS文件了.转化成功以后出现成功提示,并显示了源EXE文件体积和新生成VBS文件的大小,可以看出经过转换后木马程序体积并没有增大多少. 虽然在我的电脑上启用了杀毒软件的即时监控功能,但是在运行生成的VBS文件时,杀毒软件并没有发出病毒警报,可见生成的VBS成功地躲过了杀毒软件查杀.
--------------------------------------------------------
2.上传木马
当我们获得一个远程溢出窗口时,如果远程主机上安装了[URL=http://www.bingdun.com]防火墙[/URL]和杀毒软件,无法上传木马时,可以用秘密行动软件将木马程序按上面的方法转化成为VBS文件.然后用记事本打开生成的VBS文件,将所有程序代码复制到剪切板中.再返回溢出的shell窗口.输入命令"copy con muma.vbs";回车后,在shell窗口中点击鼠标右键,选择"粘贴"命令,将所有VBS代码贴入shell窗口中,代码贴入后,按下+Z组合键,屏幕上会看到^Z的提示.这个时候再敲一次回画.系统会提示"已复制一个文件",这就表示文件创建成功了,在远程主机上生成一个名为"muma.vbs"的文件,在shell窗口运行"muma.vbs",木马服务端程序就已经悄悄在远程主机上运行了.
---------------------------------------------------------
步骤三:压缩/打乱头文件
我们通常会通过压缩程序文件的方法,达到更改木马程序特征码,以躲过杀毒软件的查杀,但是现在的杀毒软件反病毒能力也越来越高.普照通的加壳已经失效了.因此必须想出新的木马伪装方法.其实在压缩过的森马程序上再加上一道工序.打乱加壳文件的头文件.就可以躲过病毒[URL=http://www.bingdun.com]防火墙[/URL]的眼睛.
---------------------------------------------------------
1.加壳
运行秘密行动程序,点击界面中的'pack/scramble"按钮,打开加壳与打乱头文件界面,首先浏览指定某个木马服务端程序,然后点击"pack" 按钮,对木马程序进行加壳.程序使用的是UPX壳,一方面可以减小程序的体积,另外一方面可以初步更改木马特征码.
2.打乱头文件.
已经将木马程序用UPX加壳过了,现在要将加的UPX壳头文件打乱,让文件无法再用UPX脱壳工具来脱壳.点击程序界面中的"scramble"按钮,打开UPX-scrambler对话窗口,点击"target"旁的浏览按钮,浏览选择刚才加过壳的木马程序,勾选"keep backup"项,在打乱头文件前,先对程序文件进行备份.
----------------------------------------------------------
小提示:在使用打乱头文件时,一定要选择经过UPX加壳的程序,未加壳或使用其它加壳工具加壳的程序,在打乱头文件后,很可能会造成文件被破坏而无法正常运行.
--------------------------------------------------------
设置完毕后,点击'scramble"按钮,即可对木马程序的头文件进行重组修改,打乱原有的头文件结构.打乱头文件的操作过程可能需要的时候会相对长一些,而且会重复进行多次,稍微耐心一点,很快就会生成一个新的木马程序了.新的木马程序用查壳软件无法查出使用了什么壳,用杀毒软件也无法进行查杀.
除了上面介绍的几个功能外,在秘密行动中还集成了几个常用的木马伪装功能,比如捆绑程序,修改特征码等,使用起来非常简单,在一般的情况下也足以满足大家的需要了.
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者