windows怎样为电脑打造“免检”木马
IExpress是一款用于修改msi安装包内的cab文件兼容性最好,用其它的cab工具打包文件成cab,然后替换到msi里面的cab文件,经常性出错,这个就没这方面问题。
推荐下载 :软件名称:IExpress(微软自解压包创建工具) 2.0 汉化绿色版软件大小:485KB更新时间:2016-09-21
出身: Microsoft
功能: 专用于制作各种 CAB 压缩与自解压缩包的工具。
由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。
到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边,近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的`一个小巧的软件IExpress(适用于2000和XP系统)。
原理
IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包,这些自解压包能够自动运行程序包中包含的EXE程序。IExpress技术是Microsoft使用的一项技术,用于为某些Microsoft Internet Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包。
如何确定某个软件更新程序包是否使用了IExpress呢?方法如下 :
1.右键单击该程序包,然后单击“属性”。
2.在“常规”选项卡中,查看“描述”。使用了IExpress技术的软件更新程序包中会包含“Win32 Cabinet Self-Extractor”字样。
实际操作
在这一部分,笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。
第一步
在“运行”对话框中输入IExpress就可启动程序(图1)。
在开始的时候会有两个选项供你选择,一个是创建新的自解压文件(Create new Self Extraction Directive file),另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项,然后点击“下一步”按钮。
第二步
接下来选择制作木马自解压包的三种打包方式(图2),它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。
因为我们要制作的是木马解压包,所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。
第三步
在“确认提示”(Confirmation prompt)这一环节,软件会询问在木马程序解包前是否提示用户进行确认,由于我们是在制作木马程序的解压包,当然越隐蔽越好,选择第一项“不提示”(No prompt),这么做的目的是让中招人毫无防备。点击“下一步”按钮,在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者,选择“显示用户允许协议”(Display a license),点击“Browse”选择一份编辑好的TXT文档,此文档可以用微软公司的名义来编辑,设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。
第四步
现在,我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如,你制作的协议和IE补丁包相关,那么你就可将木马和一个正常的IE补丁包添加进来。
随后进入安装程序选择窗口,指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如,在Install Program内设置正常的IE补丁包先运行,此时木马并未运行,在中招者看来的确是一个IE补丁包。在post install command内设置木马程序,这样在IE补丁包安装完毕时,木马程序将会在后台执行,我们的目的也就达到了。
第五步
接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的,所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置,由于我们做的是木马捆绑安装程序,当然应该选择“No message”。
第六步
上述设置完成后,接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”,以便隐藏解压缩过程,有助于隐藏某些木马程序启动时弹出的命令提示框。最后,设置在软件安装完成后是否重新启动(Configure reboot),可以根据实际需要来选择。如果你所用的木马是“即插即用”的,那么就选择“No reboot”;如果所采用的木马用于开启终端服务,那么可选择“Always reboot”,同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。
在保存刚才所做的设置后点击“下一步”按钮,即可开始制作木马自解压程序。
整个制作过程是在DOS下进行的,在完成度达到100%后会弹出提示窗口,点击“完成”,木马程序与合法程序的捆绑工作就完成了(格式为EXE),直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。
现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然,你也可以把它作为IE的重要补丁发送给别人。
不用第三方工具,无需过多的加壳伪装,让“Windows”来为我们服务,为我们捆绑木马,岂不快哉。
防范措施
可以先检查可疑的程序包是否采用了IExpress技术(“原理”部分已介绍)。如果采用了IExpress技术,那么你就得留心了,此时可以进入命令提示符下使用“IExpress /c”命令来解压缩文件(不进行安装)以检查程序包中是否有木马,同时还可加上参数“/t:path”指定解压路径。
编后:
普通用户应该提高警惕了,很多木马制作者了解到用户对漏洞的恐惧,利用用户急着打最新补丁的心理借机入侵。在看似合法的补丁程序中,极有可能隐藏着木马程序。所以,在此提醒大家,千万不要在操作系统和软件的非官方站点下载补丁程序包,因为这些程序包很有可能是被捆绑了恶意程序的虚假程序包。
木马怎样启动?
多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现,不加入启动项在重启后木马就不执行了),启动项一般都是加在注册表中的,具体位置在:HKEY_LOCAL _MACHINE/Software /Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER/Software/ Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;HKEY_USERS/Default/Software/Microsoft/Windows/CurrentVersion下所有以“Run”开头的键值。
不过,也有一些木马不在这些地方加载,它们躲在下面这些地方:
●在Win.ini中启动
在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有程序,比方说是: run=c:/windows/file.exe或load=c:/windows/file.exe,要小心了,这个file.exe很可能就是木马。
●在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe,注意这里的window.exe就是木马程序。
另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径/程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所。
●在Autoexec.bat和Config.sys中加载运行
这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,所以这种方法并不多见,但也不能因此而掉以轻心。
●在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
●启动组
木马隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此,还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: /Windows/Start Menu/Programs/StartUp,在注册表中的位置:HKEY_CURRENT_USER/Software/Microsoft/Windows/ CurrentVersion/Explorer/Shell Folders Startup="C:/windows/start menu/programs/startup"。
●*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件,这样就可以达到启动木马的目的了。
●修改文件关联
修改文件关联是木马常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说,正常情况下txt文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的冰河就是这样干的。一旦你双击一个txt文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了。请大家注意,不仅仅是txt文件,其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马,只能检查HKEY_CLASSES_ROOT/文件类型/shell/open/command主键,查看其键值是否正常。
●捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后,控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样,即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么,每一次Windows启动均会启动木马。
木马是什么?听说可以绑在文件上?怎么使?哪能找到木马?
到搜索引擎找木马生成器,再用记事本打开文件(如图片,音乐,电影等),把病毒挂上去,就可以了~再不会的可以上网搜索木马捆绑教程就可以啦!
木马有几种启动方式?
键盘记录木马
这个特洛伊木马很简单。他们只做一件事,那就是记录受害者的键盘击键,并在LOG文件中找到密码,然后由Windows启动来启动它。他们具有在线和离线记录选项,当您在在线和离线状态下敲击键盘时,可以记录击键,以便您可以按一下按钮,黑客就可以从记录中知道,并且很容易就可以将您从它。有用的信息,例如密码,甚至您的信用卡帐户!当然,对于这种类型的特洛伊木马,许多都具有邮件发送功能,它将自动将密码发送到黑客指定的邮箱。
DoS攻击木马
当黑客入侵计算机并向其发出DoS攻击木马时,此计算机将不会反映在受感染的计算机中,而不是计算机中。受攻击控制的肉鸡数量越多,发起Dos攻击的可能性就越大。黑客使用它来攻击一台计算机,从而对网络造成巨大的破坏和损失。
还有一个类似DoS的木马,称为邮件炸弹木马。一旦机器被感染,特洛伊木马程序将随机生成各种主题的信件,并将继续向特定的邮箱发送电子邮件,直到对方感到尴尬并且无法接受邮件为止。
FTP木马
该木马可能是最简单,最古老的木马。它的唯一功能是打开21入口并等待用户连接。现在,新的FTP木马还增加了密码功能,以便只有攻击者才能知道正确的密码并进入另一台计算机。
反弹端口型木马
在分析了防火墙的特征之后,特洛伊木马开发人员发现防火墙通常对连接的链接执行非常严格的过滤,但是撤离了所连接的链接。与典型的Trojan相比,退回端口Trojan的服务器(控制台)使用主动端口,而客户端(控制台)使用被动端口。通常在80时开放,即使用户使用扫描软件检查自己的端口,他们也会发现类似的TCPUserIP:1026控制器IP:80ESTABLISHED的情况,有点疏忽,会认为他们正在浏览Web,因为正在浏览网络将打开80。
特洛伊木马
对于黑客而言,在入侵时掩盖自己的足迹非常重要。防止发现其身份非常重要。因此,代理特洛伊木马程序最重要的任务是为受控肉鸡种下特洛伊木马并将其转变为攻击者。。通过代理特洛伊木马,攻击者可以在匿名情况下使用Telnet,ICQ,IRC等隐藏自己的踪迹。
程序杀手木马
尽管以上木马的功能多种多样,但既要在另一台机器上发挥自己的作用,又要防范木马软件。常见的反木马软件是ZoneAlarm,NortonAnti-Virus等。程序杀手Trojan的功能是关闭在另一台计算机上运行的此类程序,以便其他Trojans可以更好地工作。
扩展资料:
检测和寻找木马隐藏的位置
木马侵入系统后,需要找一个安全的地方选择适当时机进行攻击,了解和掌握木马藏匿位置,才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中,还有嵌入在启动文件中,一旦计算机启动,这些木马程序也将运行。
安装防火墙
防火墙在计算机系统中起着不可替代的作用,它保障计算机的数据流通,保护着计算机的安全通道,对数据进行管控可以根据用户需要自定义,防止不必要的数据流通。安装防火墙有助于对计算机病毒木马程序的防范与拦截。
0条大神的评论