把Alexa工具条改装成木马

核心提示：Alexa是一个发布全球网站排名信息的网站，他的网址是http://www.alexa.com，把Alexa工具条改装成木马，Alexa通过在客户端安装Alexa工具条来收集采样全球网站的访问数据，以这些数据为依据对全球网站进行排名，绝对是一种VERY超级SB的开发模式，但是却为我们修改Alexa工具条的功能提供了方便

Alexa是一个发布全球网站排名信息的网站，他的网址是http://www.alexa.com。Alexa通过在客户端安装Alexa工具条来收集采样全球网站的访问数据，以这些数据为依据对全球网站进行排名，类似于电视收视率的统计。Alexa工具条是一种类似于Google工具条的IE插件，你可以在下面URL中下载:http://download.alexa.com/index.cgi。

一、Alexa工具条的工作原理

Alexa工具条是一种基于BHO和Toolbar Bands技术的一种IE插件。它以DLL文件的形式存在于系统中，是一种COM组件，IE会在运行时将其加载到自身进程中去，所以一般情况下防火墙是无法禁止该软件访问网络的，这就为他的木马角色提供了先天的便利，而且比本机Sniff软件收集密码的优势是：无论是HTTP还是HTTPS的网站，不管通信通道是否加密，只要是IE页面的表单都能收集到。具体原理可以参考《关于Alexa排名作弊的一些解惑》(http://www.donews.net/tabris17/archive/2004/09/20/104018.aspx)

系统在安装了Alexa工具条后，会在系统目录下生成AlxTB1.dll和AlxRes.dll两个DLL文件(有些情况下是AlxTB2.dll，而不是AlxTB1.dll。那是因为Alexa工具条会自动上网更新的原因)。Alexa工具条的主要二进制代码存在于AlxTB1.dll文件中，这个文件同时也被注册成多个COM组件，他完成了BHO和Toolbar Bands的COM接口，并将IE的WebBrowser控件封装为一个COM组件供AlxRes.dll调用。AlxRes.dll文件仅包含少量的二进制代码，大量的代码是HTML和JavaScript代码，他们以资源的形式存在于AlxRes.dll文件中，你可以通过res://AlxRes.dll/CHTML/about.html这样的URL来访问这些资源。也许你会奇怪：又不是做网站，为什么软件的代码会是JavaScript写的？这就是Alexa工具条垃圾的地方。Alexa工具条的主界面是由HTML+JAVASCRIPT实现的。这些JAVASCRIPT代码通过调用AlxTB1.dll实现的COM接口来实现软件的全部功能。这样做不仅导致软件的效率低下，而且产生大量的资源泄漏，绝对是一种VERY超级SB的开发模式，但是却为我们修改Alexa工具条的功能提供了方便——根本不需要CRACKER知识，只要一个PE资源修改工具就可以对Alexa工具条的代码进行修改了。