WEB开发网
开发学院网络安全黑客技术 用Windows自带工具打造“免检”木马 阅读

用Windows自带工具打造“免检”木马

 2006-11-07 20:04:44 来源:WEB开发网   
核心提示:木马传播者最惯用的手段就是将木马程序和合法程序捆绑在一起,欺骗被攻击者,用Windows自带工具打造“免检”木马,然而,现在杀毒软件对捆绑类软件已显出“咄咄逼人”的态势,实际操作在这一部分,笔者将以实例的形式为大家详细讲解捆绑木马的整个过程,几乎所有的捆绑类软件都会被查杀,大大小小的木马纷纷失效

木马传播者最惯用的手段就是将木马程序和合法程序捆绑在一起,欺骗被攻击者。然而,现在杀毒软件对捆绑类软件已显出“咄咄逼人”的态势,几乎所有的捆绑类软件都会被查杀,大大小小的木马纷纷失效。

IExpress小档案

出身:Microsoft

功能:专用于制作各种 CAB 压缩与自解压缩包的工具。

由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。

到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边,近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。

原理

IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包,这些自解压包能够自动运行程序包中包含的EXE程序。IExpress技术是Microsoft使用的一项技术,用于为某些Microsoft Internet Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包。

如何确定某个软件更新程序包是否使用了IExpress呢?方法如下:

1.右键单击该程序包,然后单击“属性”。

2.在“常规”选项卡中,查看“描述”。使用了IExpress技术的软件更新程序包中会包含“Win32 Cabinet Self-Extractor”字样。

实际操作

在这一部分,笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。

第一步

在“运行”对话框中输入IExpress就可启动程序(图1)。

1 2 3  下一页

Tags:

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接