看windows如何為電腦打造“免檢”木馬

  發布時間:2016-09-21 11:27:06   作者:佚名   我要評論
喜歡鉆研木馬的用戶會發現木馬傳播通常將木馬程序和合法程序捆綁在一起,欺騙被攻擊者。而現在有許多的軟件都已克制木馬的傳播了,一起來看看吧

IExpress是一款用于修改msi安裝包內的cab文件兼容性最好,用其它的cab工具打包文件成cab,然后替換到msi里面的cab文件,經常性出錯,這個就沒這方面問題。

推薦下載:

軟件名稱:
IExpress(微軟自解壓包創建工具) 2.0 漢化綠色版
軟件大小:
485KB
更新時間:
2016-09-21立即下載

出身:Microsoft

功能:專用于制作各種 CAB 壓縮與自解壓縮包的工具。

由于是Windows自帶的程序,所以制作出來的安裝包具有很好的兼容性。它可以幫助木馬傳播者制造不被殺毒軟件查殺的自解壓包,而且一般情況下還可偽裝成某個系統軟件的補丁(如IE的hotfix)來迷惑人。

到哪里尋找永遠都不會被查殺的捆綁方法或工具?遠在天邊,近在眼前。可千萬別忘了與你朝夕相處的Windows。此次所要介紹的捆綁工具就是Windows自帶的一個小巧的軟件IExpress(適用于2000和XP系統)。

原理

IExpress使用了多種不同的自解壓縮文件技術對軟件更新文件進行打包,這些自解壓包能夠自動運行程序包中包含的EXE程序。IExpress技術是Microsoft使用的一項技術,用于為某些Microsoft Internet Explorer版本、某些Windows版本以及其他多種產品創建軟件更新程序包。

如何確定某個軟件更新程序包是否使用了IExpress呢?方法如下:

1.右鍵單擊該程序包,然后單擊“屬性”。

2.在“常規”選項卡中,查看“描述”。使用了IExpress技術的軟件更新程序包中會包含“Win32 Cabinet Self-Extractor”字樣。

實際操作

在這一部分,筆者將以實例的形式為大家詳細講解捆綁木馬的整個過程。

第一步

在“運行”對話框中輸入IExpress就可啟動程序(圖1)。

在開始的時候會有兩個選項供你選擇,一個是創建新的自解壓文件(Create new Self Extraction Directive file),另一個是打開已經保存的自解壓模板“.sed”文件(Open existing Self Extraction Directive file)。我們應該選擇第一項,然后點擊“下一步”按鈕。

第二步

接下來選擇制作木馬自解壓包的三種打包方式(圖2),它們分別是建立自解壓并自動安裝壓縮包(Extract files and run an installation command)、建立自解壓壓縮包(Extract files only)和建立CAB壓縮包(Create compressed files only)。

因為我們要制作的是木馬解壓包,所以應該選擇第一項。在輸入壓縮包標題后點擊“下一步”按鈕。

第三步

在“確認提示”(Confirmation prompt)這一環節,軟件會詢問在木馬程序解包前是否提示用戶進行確認,由于我們是在制作木馬程序的解壓包,當然越隱蔽越好,選擇第一項“不提示”(No prompt),這么做的目的是讓中招人毫無防備。點擊“下一步”按鈕,在接下來的添加“用戶允許協議”(License agreement)中添加一個偽裝的用戶協議迷惑中招者,選擇“顯示用戶允許協議”(Display a license),點擊“Browse”選擇一份編輯好的TXT文檔,此文檔可以用微軟公司的名義來編輯,設置完畢后點擊“下一步”。這一步的目的是迷惑對手并隱藏木馬安裝的過程。

第四步

現在,我們就進入了文件列表窗口(Packaged files)。點擊該窗口中的“Add”按鈕添加木馬和將要與木馬程序捆綁在一起的合法程序。根據剛才編輯的協議文件的內容添加合法程序。例如,你制作的協議和IE補丁包相關,那么你就可將木馬和一個正常的IE補丁包添加進來。

隨后進入安裝程序選擇窗口,指定解壓縮包開始運行的文件(Install Program)和安裝結束后運行的程序(post install command)。例如,在Install Program內設置正常的IE補丁包先運行,此時木馬并未運行,在中招者看來的確是一個IE補丁包。在post install command內設置木馬程序,這樣在IE補丁包安裝完畢時,木馬程序將會在后臺執行,我們的目的也就達到了。

第五步

接下來選擇軟件在安裝過程中的顯示模式(Show window)。由于我們的木馬是和合法程序捆綁在一起的,所以選擇“默認”(Default)即可。接下來進行提示語句(Finished message)的顯示設置,由于我們做的是木馬捆綁安裝程序,當然應該選擇“No message”。

第六步

上述設置完成后,接著設置自解壓程序的保存位置和名稱。在這里要選擇“Hide File Extracting Progress Animation from User”,以便隱藏解壓縮過程,有助于隱藏某些木馬程序啟動時彈出的命令提示框。最后,設置在軟件安裝完成后是否重新啟動(Configure reboot),可以根據實際需要來選擇。如果你所用的木馬是“即插即用”的,那么就選擇“No reboot”;如果所采用的木馬用于開啟終端服務,那么可選擇“Always reboot”,同時選擇“重新啟動前不提示用戶”(Do not prompt user before reboot)。

在保存剛才所做的設置后點擊“下一步”按鈕,即可開始制作木馬自解壓程序。

整個制作過程是在DOS下進行的,在完成度達到100%后會彈出提示窗口,點擊“完成”,木馬程序與合法程序的捆綁工作就完成了(格式為EXE),直接雙擊即可運行。你再用殺毒軟件查一查。怎么樣?已經完全不會被查出來了吧。

現在還等什么?趕快利用“木馬屠城”介紹過的網頁木馬傳播技術或木馬電子書技術發布你的木馬去吧。當然,你也可以把它作為IE的重要補丁發送給別人。

不用第三方工具,無需過多的加殼偽裝,讓“Windows”來為我們服務,為我們捆綁木馬,豈不快哉。

防范措施

可以先檢查可疑的程序包是否采用了IExpress技術(“原理”部分已介紹)。如果采用了IExpress技術,那么你就得留心了,此時可以進入命令提示符下使用“IExpress /c”命令來解壓縮文件(不進行安裝)以檢查程序包中是否有木馬,同時還可加上參數“/t:path”指定解壓路徑。

編后:

普通用戶應該提高警惕了,很多木馬制作者了解到用戶對漏洞的恐懼,利用用戶急著打最新補丁的心理借機入侵。在看似合法的補丁程序中,極有可能隱藏著木馬程序。所以,在此提醒大家,千萬不要在操作系統和軟件的非官方站點下載補丁程序包,因為這些程序包很有可能是被捆綁了惡意程序的虛假程序包。

相關文章

最新評論

福建体育彩票时时彩11