大家好.我是David!
今日主题:"加密木马
新思路"-----------------------------------------------------
首先我给大家介绍今天
主角.
个名叫"秘密行动"新工具,这个工具把常用几个小
集合于身,功能十分强大,可以完成捆绑
,修改特征码,十 6进制编辑及分割合并文件等.这次主要是利用这个新工具中集成
几个最新木马伪装技术,完成我们木要马加密过程.下面就跟着我来步步将木马改造成超级无敌木马吧!
------------------------------------------------------
步骤
:增加字节法我们都知道,杀毒软件Software是通过
中某个位置病毒特征码,来对文件进行识别判断是否是木马病毒,改变了木马
文件夹病毒特征码,就可以有效躲过杀毒软件Software查杀,更改木马病毒特征码有几种思路方法,比如直接用特殊
工具进行修改,或者进行加壳等,但是由于杀毒软件Software病毒识别技术在不断提高,杀毒软件Software往往都通过同时对几处病毒特征码进行识别,因此普照通
特征码修改思路方法已经失效了,这里要为大家介绍
是种新思路方法-----增加字节法.---------------------------------------------------
每个
文件中都存在些剩余空间,木马也不例外,我们可以向木马文件中增另些空字节,从而改变文件
整个代码结构,但是并不影响执行,由于代码结构已经发生了变化,相应病毒特征码位置也发生了改变,因此杀毒软件Software也无法对木马
进行查杀了.点击秘密行动
界面中"Add Bytes" (增加字节)按钮,在增加字节页面中输入要增加字节数.默认增加字节数是1000字节,但是过多
字节数会增加木马体积,因此可以先增加个比较小字节数目击者.如果增加字节后,用杀毒软件Software检测能查出木马,那么再逐渐加大字节数.直到无法查出病毒为止.其实
有时只需增加23个字节,就足以改变特征码让木马
躲过杀毒软件Software了.设置了合理
字节数后,点击"选择文件"旁浏览按钮,浏览选择要进行增加字节处理木马,然后点击"Add Bytes"按钮,即可在木马
中增加指定字节数了,这里我们和坂是Pcshare生成木马服务端,通过两次增加23个字节数后,用杀毒软件Software进行查杀,提示没有检测到病毒.-----------------------------------------------------
步骤 2:EXE文件巧变VBS
在windows系统中,默认情况下都安装了Wscript,因此可以执行VBS文件,如果我们将木马
转化为VBS文件后,由于许多杀毒软件Software不对硬盘中
VBS文件检测.因此木马就可以躲过病毒防火墙眼睛,同时,将木马
转化为VBS文件还有个非常有利地方,比如在获得个溢出shell窗口后,发现被溢出主机上安装了防火墙,无法上传木马时,可以通过直接将VBS代码贴入shell窗口,在远程主机中写入
个VBS文件,达到上传木马
目标.-------------------------------------------------------
1.躲过杀毒软件Software
点击秘密行动
界面中"Create VBS"按钮,在VBS文件生成页面中点击"选择文件",指定木马文件后,将自动显示输入VBS文件名.点击"Make script"按钮,
就会自动将EXE文件转化为VBS文件了.转化成功以后出现成功提示,并显示了源EXE文件体积和新生成VBS文件
大小,可以看出经过转换后木马体积并没有增大多少.
虽然在我
电脑上启用了杀毒软件Software即时监控功能,但是在运行生成VBS文件时,杀毒软件Software并没有发出病毒警报,可见生成
VBS成功地躲过了杀毒软件Software查杀.--------------------------------------------------------
2.上传木马
当我们获得
个远程溢出窗口时,如果远程主机上安装了防火墙和杀毒软件Software,无法上传木马时,可以用秘密行动软件Software将木马
按上面思路方法转化成为VBS文件.然后用记事本打开生成VBS文件,将所有代码复制到剪切板中.再返回溢出
shell窗口.输入命令"copy con muma.vbs";回车后,在shell窗口中点击鼠标右键,选择"粘贴"命令,将所有VBS代码贴入shell窗口中,代码贴入后,按下<CTRL>+Z组合键,屏幕上会看到
^Z
提示.这个时候再敲次回画.系统会提示"已复制个文件",这就表示文件创建成功了,在远程主机上生成
个名为"muma.vbs"文件,在shell窗口运行"muma.vbs",木马服务端就已经悄悄在远程主机上运行了.
---------------------------------------------------------
步骤 3:压缩/打乱头文件
我们通常会通过压缩
文件思路方法,达到更改木马特征码,以躲过杀毒软件Software查杀,但是现在杀毒软件Software反病毒能力也越来越高.普照通
加壳已经失效了.因此必须想出新木马伪装思路方法.其实在压缩过森马
上再加上道工序.打乱加壳文件头文件.就可以躲过病毒防火墙眼睛.---------------------------------------------------------
1.加壳
运行秘密行动
,点击界面中'pack/scramble"按钮,打开加壳和打乱头文件界面,首先浏览指定某个木马服务端
,然后点击"pack" 按钮,对木马进行加壳.使用是UPX壳,方面可以减小体和服,另外
方面可以初步更改木马特征码.2.打乱头文件.
已经将木马
用UPX加壳过了,现在要将加UPX壳头文件打乱,让文件无法再用UPX脱壳工具来脱壳.点击界面中"scramble"按钮,打开UPX-scrambler对话窗口,点击"target"旁浏览按钮,浏览选择刚才加过壳
木马,勾选"keep backup"项,在打乱头文件前,先对文件进行备份.----------------------------------------------------------
小提示:在使用打乱头文件时,
定要选择经过UPX加壳,未加壳或使用其它加壳工具加壳,在打乱头文件后,很可能会造成文件被破坏而无法正常运行.
--------------------------------------------------------
设置完毕后,点击'scramble"按钮,即可对木马
头文件进行重组修改,打乱原有头文件结构.打乱头文件
操作过程可能需要时候会相对长些,而且会重复进行多次,稍微耐心点,很快就会生成个新木马了.新木马用查壳软件Software无法查出使用了什么壳,用杀毒软件Software也无法进行查杀.除了上面介绍
几个功能外,在秘密行动中还集成了几个常用木马伪装功能,比如捆绑,修改特征码等,使用起来非常简单,在
般情况下也足以满足大家需要了.篇文章: 推荐:加密故事篇文章: 提Administrators到
级别vbs
最新评论