大家好.我是David!
今日主题:"加密木马
![](/icons/57142de.gif)
新思路"
-----------------------------------------------------
首先我给大家介绍今天
![](/icons/57142de.gif)
主角.
![](/icons/57142yi.gif)
个名叫"秘密行动"
![](/icons/57142de.gif)
新工具,这个工具把常用
![](/icons/57142de.gif)
几个小
![](/icons/57142chengxu.gif)
集合于
![](/icons/57142yi.gif)
身,
功能十分强大,可以完成捆绑
![](/icons/57142chengxu.gif)
,修改特征码,十 6进制编辑及分割合并文件等.这次主要是利用这个新工
具中集成
![](/icons/57142de.gif)
几个最新木马伪装技术,完成我们
![](/icons/57142de.gif)
木要马加密过程.下面就跟着我来
![](/icons/57142yi.gif)
步
![](/icons/57142yi.gif)
步将木马改造成超
级无敌木马吧!
------------------------------------------------------
步骤
![](/icons/57142yi.gif)
:增加字节法
我们都知道,杀毒软件Software是通过
![](/icons/57142chengxu.gif)
中某个位置
![](/icons/57142de.gif)
病毒特征码,来对文件进行识别判断是否是木马病毒
![](/icons/57142de.gif)
,改
变了木马
![](/icons/57142chengxu.gif)
文件夹病毒特征码,就可以有效
![](/icons/57142de.gif)
躲过杀毒软件Software
![](/icons/57142de.gif)
查杀,更改木马
![](/icons/57142de.gif)
病毒特征码有几种思路方法,
比如直接用特殊
![](/icons/57142de.gif)
工具进行修改,或者进行加壳等,但是由于杀毒软件Software
![](/icons/57142de.gif)
病毒识别技术在不断
![](/icons/57142de.gif)
提高,杀毒
软件Software往往都通过同时对几处病毒特征码进行识别,因此普照通
![](/icons/57142de.gif)
特征码修改思路方法已经失效了,这里要为大家
介绍
![](/icons/57142de.gif)
是
![](/icons/57142yi.gif)
种新思路方法-----增加字节法.
---------------------------------------------------
每个
![](/icons/57142chengxu.gif)
文件中都存在
![](/icons/57142yi.gif)
些剩余空间,木马
![](/icons/57142chengxu.gif)
也不例外,我们可以向木马
![](/icons/57142chengxu.gif)
文件中增另
![](/icons/57142yi.gif)
些空字节,从
而改变文件
![](/icons/57142de.gif)
整个代码结构,但是并不影响
![](/icons/57142chengxu.gif)
![](/icons/57142de.gif)
执行,由于
![](/icons/57142chengxu.gif)
![](/icons/57142de.gif)
代码结构已经发生了变化,相应
![](/icons/57142de.gif)
病毒
特征码位置也发生了改变,因此杀毒软件Software也无法对木马
![](/icons/57142chengxu.gif)
进行查杀了.
点击秘密行动
![](/icons/57142chengxu.gif)
界面中
![](/icons/57142de.gif)
"Add Bytes" (增加字节)按钮,在增加字节页面中输入要增加
![](/icons/57142de.gif)
字节数.默认
![](/icons/57142de.gif)
增加字节数是1000字节,但是过多
![](/icons/57142de.gif)
字节数会增加木马
![](/icons/57142chengxu.gif)
![](/icons/57142de.gif)
体积,因此可以先增加
![](/icons/57142yi.gif)
个比较小
![](/icons/57142de.gif)
字节数目
击者.如果增加字节后,用杀毒软件Software检测能查出木马,那么再逐渐加大字节数.直到无法查出病毒为止.其实
有时只需增加23个字节,就足以改变特征码让木马
![](/icons/57142chengxu.gif)
躲过杀毒软件Software了.
设置了合理
![](/icons/57142de.gif)
字节数后,点击"选择文件"旁
![](/icons/57142de.gif)
浏览按钮,浏览选择要进行增加字节处理
![](/icons/57142de.gif)
木马
![](/icons/57142chengxu.gif)
,然后点
击"Add Bytes"按钮,即可在木马
![](/icons/57142chengxu.gif)
中增加指定
![](/icons/57142de.gif)
字节数了,这里我们和坂
![](/icons/57142de.gif)
是Pcshare生成
![](/icons/57142de.gif)
木马服务端
![](/icons/57142chengxu.gif)
,通过两次增加23个字节数后,用杀毒软件Software进行查杀,提示没有检测到病毒.
-----------------------------------------------------
步骤 2:EXE文件巧变VBS
在windows系统中,默认情况下都安装了Wscript,因此可以执行VBS文件,如果我们将木马
![](/icons/57142chengxu.gif)
转化为VBS文
件后,由于许多杀毒软件Software不对硬盘中
![](/icons/57142de.gif)
VBS文件检测.因此木马
![](/icons/57142chengxu.gif)
就可以躲过病毒防火墙
![](/icons/57142de.gif)
眼睛,同时,将
木马
![](/icons/57142chengxu.gif)
转化为VBS文件还有
![](/icons/57142yi.gif)
个非常有利
![](/icons/57142de.gif)
地方,比如在获得
![](/icons/57142yi.gif)
个溢出
![](/icons/57142de.gif)
shell窗口后,发现被溢出主机上
安装了防火墙,无法上传木马时,可以通过直接将VBS代码贴入shell窗口,在远程主机中写入
![](/icons/57142yi.gif)
个VBS文件,
达到上传木马
![](/icons/57142de.gif)
目标.
-------------------------------------------------------
1.躲过杀毒软件Software
点击秘密行动
![](/icons/57142chengxu.gif)
界面中
![](/icons/57142de.gif)
"Create VBS"按钮,在VBS文件生成页面中点击"选择文件",指定木马
![](/icons/57142chengxu.gif)
文件
后,将自动显示输入VBS文件名.点击"Make script"按钮,
![](/icons/57142chengxu.gif)
就会自动将EXE文件转化为VBS文件了.转化成
功以后出现成功提示,并显示了源EXE文件体积和新生成VBS文件
![](/icons/57142de.gif)
大小,可以看出经过转换后木马
![](/icons/57142chengxu.gif)
体积
并没有增大多少.
虽然在我
![](/icons/57142de.gif)
电脑上启用了杀毒软件Software
![](/icons/57142de.gif)
即时监控功能,但是在运行生成
![](/icons/57142de.gif)
VBS文件时,杀毒软件Software并没有发出病
毒警报,可见生成
![](/icons/57142de.gif)
VBS成功地躲过了杀毒软件Software查杀.
--------------------------------------------------------
2.上传木马
当我们获得
![](/icons/57142yi.gif)
个远程溢出窗口时,如果远程主机上安装了防火墙和杀毒软件Software,无法上传木马时,可以用秘密
行动软件Software将木马
![](/icons/57142chengxu.gif)
按上面
![](/icons/57142de.gif)
思路方法转化成为VBS文件.然后用记事本打开生成
![](/icons/57142de.gif)
VBS文件,将所有
![](/icons/57142chengxu.gif)
代码复
制到剪切板中.再返回溢出
![](/icons/57142de.gif)
shell窗口.输入命令"copy con muma.vbs";回车后,在shell窗口中点击鼠标
右键,选择"粘贴"命令,将所有VBS代码贴入shell窗口中,代码贴入后,按下<CTRL>+Z组合键,屏幕上会看到
^Z
![](/icons/57142de.gif)
提示.这个时候再敲
![](/icons/57142yi.gif)
次回画.系统会提示"已复制
![](/icons/57142yi.gif)
个文件",这就表示文件创建成功了,在远程主机上
生成
![](/icons/57142yi.gif)
个名为"muma.vbs"
![](/icons/57142de.gif)
文件,在shell窗口运行"muma.vbs",木马服务端
![](/icons/57142chengxu.gif)
就已经悄悄在远程主机上
运行了.
---------------------------------------------------------
步骤 3:压缩/打乱头文件
我们通常会通过压缩
![](/icons/57142chengxu.gif)
文件
![](/icons/57142de.gif)
思路方法,达到更改木马
![](/icons/57142chengxu.gif)
特征码,以躲过杀毒软件Software
![](/icons/57142de.gif)
查杀,但是现在
![](/icons/57142de.gif)
杀毒
软件Software反病毒能力也越来越高.普照通
![](/icons/57142de.gif)
加壳已经失效了.因此必须想出新
![](/icons/57142de.gif)
木马伪装思路方法.其实在压缩过
![](/icons/57142de.gif)
森马
![](/icons/57142chengxu.gif)
上再加上
![](/icons/57142yi.gif)
道工序.打乱加壳文件
![](/icons/57142de.gif)
头文件.就可以躲过病毒防火墙
![](/icons/57142de.gif)
眼睛.
---------------------------------------------------------
1.加壳
运行秘密行动
![](/icons/57142chengxu.gif)
,点击界面中
![](/icons/57142de.gif)
'pack/scramble"按钮,打开加壳和打乱头文件界面,首先浏览指定某个木
马服务端
![](/icons/57142chengxu.gif)
,然后点击"pack" 按钮,对木马
![](/icons/57142chengxu.gif)
进行加壳.
![](/icons/57142chengxu.gif)
使用
![](/icons/57142de.gif)
是UPX壳,
![](/icons/57142yi.gif)
方面可以减小
![](/icons/57142chengxu.gif)
![](/icons/57142de.gif)
体
和服,另外
![](/icons/57142yi.gif)
方面可以初步更改木马特征码.
2.打乱头文件.
已经将木马
![](/icons/57142chengxu.gif)
用UPX加壳过了,现在要将加
![](/icons/57142de.gif)
UPX壳头文件打乱,让文件无法再用UPX脱壳工具来脱壳.点击
![](/icons/57142chengxu.gif)
界面中
![](/icons/57142de.gif)
"scramble"按钮,打开UPX-scrambler对话窗口,点击"target"旁
![](/icons/57142de.gif)
浏览按钮,浏览选择刚才加
过壳
![](/icons/57142de.gif)
木马
![](/icons/57142chengxu.gif)
,勾选"keep backup"项,在打乱头文件前,先对
![](/icons/57142chengxu.gif)
文件进行备份.
----------------------------------------------------------
小提示:在使用打乱头文件时,
![](/icons/57142yi.gif)
定要选择经过UPX加壳
![](/icons/57142de.gif)
![](/icons/57142chengxu.gif)
,未加壳或使用其它加壳工具加壳
![](/icons/57142de.gif)
![](/icons/57142chengxu.gif)
,在
打乱头文件后,很可能会造成文件被破坏而无法正常运行.
--------------------------------------------------------
设置完毕后,点击'scramble"按钮,即可对木马
![](/icons/57142chengxu.gif)
![](/icons/57142de.gif)
头文件进行重组修改,打乱原有
![](/icons/57142de.gif)
头文件结构.打乱头
文件
![](/icons/57142de.gif)
操作过程可能需要
![](/icons/57142de.gif)
时候会相对长
![](/icons/57142yi.gif)
些,而且会重复进行多次,稍微耐心
![](/icons/57142yi.gif)
点,很快就会生成
![](/icons/57142yi.gif)
个新
![](/icons/57142de.gif)
木马
![](/icons/57142chengxu.gif)
了.新
![](/icons/57142de.gif)
木马
![](/icons/57142chengxu.gif)
用查壳软件Software无法查出使用了什么壳,用杀毒软件Software也无法进行查杀.
除了上面介绍
![](/icons/57142de.gif)
几个功能外,在秘密行动中还集成了几个常用
![](/icons/57142de.gif)
木马伪装功能,比如捆绑
![](/icons/57142chengxu.gif)
,修改特征码
等,使用起来非常简单,在
![](/icons/57142yi.gif)
般
![](/icons/57142de.gif)
情况下也足以满足大家
![](/icons/57142de.gif)
需要了.
上
篇文章: 推荐:加密
故事
下
篇文章: 提Administrators到
级别
vbs
Tags:
延伸阅读
最新评论