美图欣赏 | 设为首页 | 加入收藏 | 网站地图

当前位置:电脑中国 > 网络 > 病毒与查杀 >

看windows如何为电脑打造“免检”木马

2018-05-10 13:37|来源:未知 |作者:dnzg |点击:
如何确定某个软件更新程序包是否使用了IExpress呢?方法如下:  
1.右键单击该程序包,然后单击“属性”。  
2.在“常规”选项卡中,查看“描述”。使用了IExpress技术的软件更新程序包中会包含“Win32CabinetSelf-Extractor”字样。  
实际操作  
在这一部分,笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。  
第一步  
在“运行”对话框中输入IExpress就可启动程序(图1)。  
在开始的时候会有两个选项供你选择,一个是创建新的自解压文件(CreatenewSelfExtractionDirectivefile),另一个是打开已经保存的自解压模板“.sed”文件(OpenexistingSelfExtractionDirectivefile)。我们应该选择第一项,然后点击“下一步”按钮。  
第二步  
接下来选择制作木马自解压包的三种打包方式(图2),它们分别是建立自解压并自动安装压缩包(Extractfilesandrunaninstallationcommand)、建立自解压压缩包(Extractfilesonly)和建立CAB压缩包(Createcompressedfilesonly)。  
因为我们要制作的是木马解压包,所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。  
第三步  
在“确认提示”(Confirmationprompt)这一环节,软件会询问在木马程序解包前是否提示用户进行确认,由于我们是在制作木马程序的解压包,当然越隐蔽越好,选择第一项“不提示”(Noprompt),这么做的目的是让中招人毫无防备。点击“下一步”按钮,在接下来的添加“用户允许协议”(Licenseagreement)中添加一个伪装的用户协议迷惑中招者,选择“显示用户允许协议”(Displayalicense),点击“Browse”选择一份编辑好的TXT文档,此文档可以用微软公司的名义来编辑,设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。  
第四步  
现在,我们就进入了文件列表窗口(Packagedfiles)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如,你制作的协议和IE补丁包相关,那么你就可将木马和一个正常的IE补丁包添加进来。  
随后进入安装程序选择窗口,指定解压缩包开始运行的文件(InstallProgram)和安装结束后运行的程序(postinstallcommand)。例如,在InstallProgram内设置正常的IE补丁包先运行,此时木马并未运行,在中招者看来的确是一个IE补丁包。在postinstallcommand内设置木马程序,这样在IE补丁包安装完毕时,木马程序将会在后台执行,我们的目的也就达到了。  
第五步  
接下来选择软件在安装过程中的显示模式(Showwindow)。由于我们的木马是和合法程序捆绑在一起的,所以选择“默认”(Default)即可。接下来进行提示语句(Finishedmessage)的显示设置,由于我们做的是木马捆绑安装程序,当然应该选择“Nomessage”。  
第六步  
上述设置完成后,接着设置自解压程序的保存位置和名称。在这里要选择“HideFileExtractingProgressAnimationfromUser”,以便隐藏解压缩过程,有助于隐藏某些木马程序启动时弹出的命令提示框。最后,设置在软件安装完成后是否重新启动(Configurereboot),可以根据实际需要来选择。如果你所用的木马是“即插即用”的,那么就选择“Noreboot”;如果所采用的木马用于开启终端服务,那么可选择“Alwaysreboot”,同时选择“重新启动前不提示用户”(Donotpromptuserbeforereboot)。  
在保存刚才所做的设置后点击“下一步”按钮,即可开始制作木马自解压程序。  
整个制作过程是在DOS下进行的,在完成度达到100%后会弹出提示窗口,点击“完成”,木马程序与合法程序的捆绑工作就完成了(格式为EXE),直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。  
现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然,你也可以把它作为IE的重要补丁发送给别人。  
不用第三方工具,无需过多的加壳伪装,让“Windows”来为我们服务,为我们捆绑木马,岂不快哉。  
防范措施  
可以先检查可疑的程序包是否采用了IExpress技术(“原理”部分已介绍)。如果采用了IExpress技术,那么你就得留心了,此时可以进入命令提示符下使用“IExpress/c”命令来解压缩文件(不进行安装)以检查程序包中是否有木马,同时还可加上参数“/t:path”指定解压路径。  
编后:  
普通用户应该提高警惕了,很多木马制作者了解到用户对漏洞的恐惧,利用用户急着打最新补丁的心理借机入侵。在看似合法的补丁程序中,极有可能隐藏着木马程序。所以,在此提醒大家,千万不要在操作系统和软件的非官方站点下载补丁程序包,因为这些程序包很有可能是被捆绑了恶意程序的虚假程序包。
(责任编辑:dnzg)