喜歡鑽研木馬的使用者會發現木馬傳播通常將木馬程式和合法程式捆綁在一起,欺騙被攻擊者。而現在有許多的軟體都已剋制木馬的傳播了,以下是小編為大家搜尋整理的Windows如何為電腦打造“免檢”木馬,希望能給大家帶來幫助!更多精彩內容請及時關注我們應屆畢業生考試網!
原理
IExpress使用了多種不同的自解壓縮檔案技術對軟體更新檔案進行打包,這些自解壓包能夠自動執行程式包中包含的EXE程式。IExpress技術是Microsoft使用的一項技術,用於為某些Microsoft Internet Explorer版本、某些Windows版本以及其他多種產品建立軟體更新程式包。
如何確定某個軟體更新程式包是否使用了IExpress呢?方法如下:
1.右鍵單擊該程式包,然後單擊“屬性”。
2.在“常規”選項卡中,檢視“描述”。使用了IExpress技術的軟體更新程式包中會包含“Win32 Cabinet Self-Extractor”字樣。
實際操作
在這一部分,筆者將以例項的形式為大家詳細講解捆綁木馬的整個過程。
第一步
在“執行”對話方塊中輸入IExpress就可啟動程式(圖1)。
在開始的時候會有兩個選項供你選擇,一個是建立新的自解壓檔案(Create new Self Extraction Directive file),另一個是開啟已經儲存的.自解壓模板“”檔案(Open existing Self Extraction Directive file)。我們應該選擇第一項,然後點選“下一步”按鈕。
第二步
接下來選擇製作木馬自解壓包的三種打包方式(圖2),它們分別是建立自解壓並自動安裝壓縮包(Extract files and run an installation command)、建立自解壓壓縮包(Extract files only)和建立CAB壓縮包(Create compressed files only)。
因為我們要製作的是木馬解壓包,所以應該選擇第一項。在輸入壓縮包標題後點擊“下一步”按鈕。
第三步
在“確認提示”(Confirmation prompt)這一環節,軟體會詢問在木馬程式解包前是否提示使用者進行確認,由於我們是在製作木馬程式的解壓包,當然越隱蔽越好,選擇第一項“不提示”(No prompt),這麼做的目的是讓中招人毫無防備。點選“下一步”按鈕,在接下來的新增“使用者允許協議”(License agreement)中新增一個偽裝的使用者協議迷惑中招者,選擇“顯示使用者允許協議”(Display a license),點選“Browse”選擇一份編輯好的TXT文件,此文件可以用微軟公司的名義來編輯,設定完畢後點擊“下一步”。這一步的目的是迷惑對手並隱藏木馬安裝的過程。
第四步
現在,我們就進入了檔案列表視窗(Packaged files)。點選該視窗中的“Add”按鈕新增木馬和將要與木馬程式捆綁在一起的合法程式。根據剛才編輯的協議檔案的內容新增合法程式。例如,你製作的協議和IE補丁包相關,那麼你就可將木馬和一個正常的IE補丁包新增進來。
隨後進入安裝程式選擇視窗,指定解壓縮包開始執行的檔案(Install Program)和安裝結束後執行的程式(post install command)。例如,在Install Program內設定正常的IE補丁包先執行,此時木馬並未執行,在中招者看來的確是一個IE補丁包。在post install command內設定木馬程式,這樣在IE補丁包安裝完畢時,木馬程式將會在後臺執行,我們的目的也就達到了。
第五步
接下來選擇軟體在安裝過程中的顯示模式(Show window)。由於我們的木馬是和合法程式捆綁在一起的,所以選擇“預設”(Default)即可。接下來進行提示語句(Finished message)的顯示設定,由於我們做的是木馬捆綁安裝程式,當然應該選擇“No message”。
第六步
上述設定完成後,接著設定自解壓程式的儲存位置和名稱。在這裡要選擇“Hide File Extracting Progress Animation from User”,以便隱藏解壓縮過程,有助於隱藏某些木馬程式啟動時彈出的命令提示框。最後,設定在軟體安裝完成後是否重新啟動(Configure reboot),可以根據實際需要來選擇。如果你所用的木馬是“即插即用”的,那麼就選擇“No reboot”;如果所採用的木馬用於開啟終端服務,那麼可選擇“Always reboot”,同時選擇“重新啟動前不提示使用者”(Do not prompt user before reboot)。
在儲存剛才所做的設定後點擊“下一步”按鈕,即可開始製作木馬自解壓程式。
整個製作過程是在DOS下進行的,在完成度達到100%後會彈出提示視窗,點選“完成”,木馬程式與合法程式的捆綁工作就完成了(格式為EXE),直接雙擊即可執行。你再用防毒軟體查一查。怎麼樣?已經完全不會被查出來了吧。
現在還等什麼?趕快利用“木馬屠城”介紹過的網頁木馬傳播技術或木馬電子書技術釋出你的木馬去吧。當然,你也可以把它作為IE的重要補丁傳送給別人。
不用第三方工具,無需過多的加殼偽裝,讓“Windows”來為我們服務,為我們捆綁木馬,豈不快哉。
防範措施
可以先檢查可疑的程式包是否採用了IExpress技術(“原理”部分已介紹)。如果採用了IExpress技術,那麼你就得留心了,此時可以進入命令提示符下使用“IExpress /c”命令來解壓縮檔案(不進行安裝)以檢查程式包中是否有木馬,同時還可加上引數“/t:path”指定解壓路徑。
編後:
普通使用者應該提高警惕了,很多木馬製作者瞭解到使用者對漏洞的恐懼,利用使用者急著打最新補丁的心理藉機入侵。在看似合法的補丁程式中,極有可能隱藏著木馬程式。所以,在此提醒大家,千萬不要在作業系統和軟體的非官方站點下載補丁程式包,因為這些程式包很有可能是被捆綁了惡意程式的虛假程式包。
