Jack:很抱歉打扰你,Ivon。
Ivon:是你啊,英雄!
Jack:(*@*#*#!#$&,看来传言还不少呢)
Ivon:什么事情啊?
Jack:有点问题不知道用什么方法解决比较好,想请教你一下。
Ivon:你说说看。
Jack:我想调查一下偷Sun的QQ号码的家伙是不是一个职业盗号者,为他的行为惩戒他一下,顺便也练习一下自己的技术啦。
Ivon:哦,你还要继续深入啊,我倒是很佩服你的执着呢。
Jack:这不是卡在这里了嘛,我想还用取回QQ帐号的老办法,用木马程序远程控制对方的机器,但是没有生成木马的网络服务器,每次生成的木马好像都被服务器上的防病毒软件杀掉了。
Ivon:恩,思路不错,看准敌人的弱点进行攻击,有天份哦。
Jack:你别逗我了(其实Jack同学已经相当的飘了),有什么好主意吗?
Ivon:处理这种问题的方法很多了,有简单的也有复杂的哦,看你想怎么解决喽。
Jack:哦?都有什么呢?我想用个有趣点的方法,学点新东西嘛。
Ivon:简单的方法嘛,找一台没有防病毒系统的服务器、不使用网页木马从理论上讲都可以解决你的问题,不过既然你的前期准备都已经做的很充分有这么想学点东西,我推荐你伪装一下你的木马程序,避开防病毒系统的监控程序就可以了。
Jack:就像武侠小说里的易容术一样?
Ivon:(..这小子的发散思维还不错呢)
Jack:具体怎么操作呢?
Ivon:你知道程序的加壳技术嘛?
Jack:听说过一点。
Ivon:加壳可以对可执行程序和DLL文件进行封装,起到缩减文件大小和保护文件内部机制的作用。针对你的情况来说,加壳可以在一定程度上对文件作出改变,在很多时候可以骗过防病毒软件的检查,因为这些软件毕竟是以特征识别为基础的嘛,你的文件变化的足够彻底特征识别就会失效。
Jack:了解了,这种方法确实有点意思,我去研究一下先,谢谢你啦Ivon。
Ivon:恩,再见喽!(Jack这家伙并不死缠烂打的一问到底,而能够自己钻研问题,看来我对他的评价并不虚妄啊,他也许真的天生具有黑客精神)
市立图书馆 2006.1.17 星期二 13:10
吃了什锦炒饭的Jack有点昏昏沉沉的,好在图书馆的冷气够足,勉强将睡意驱走的Jack在社科部疯狂的攻读加壳技术方面的书籍。小半天下来,Jack已经略有所成,至少应用加壳技术对木马程序进行伪装是没有问题了,带着小小的成就感,Jack班师回家啦。
Jack
学习笔记之加壳技术
“壳”与文件病毒所使用的机制具有一定的相似性,通过修改文件的内部结构从而获得更早的控制权,在获得控制权后“壳”一方面在内部中转原有程序的各种操作和调用,一方面执行自己所需要的工作。通常的加壳过程都是通过加壳工具软件完成的,对文件结构熟悉的计算机用户也可以通过一些专用的编辑工具手动进行加壳。一般意义上的加壳软件只限于对可执行文件,虽然包括压缩软件在内的一些文件管理工具都具有与加壳软件相似的工作机理,但是并不纳入加壳软件范畴考虑。事实上很多加壳软件在设计之初就将缩减可执行文件大小作为主要的目的,例如著名的PECompact、ASPack、UPX、Petite、Neolite等等。而另外一些加壳软件则致力于可执行文件的保护,防止对其进行跟踪、反编译、脱壳等操作,比较著名的有ASProtect、Krypton、tElock等等。
|
Jack的家 2006.1.17 星期二 18:55
经过下午的学习,Jack已经确立了选择加壳软件一些标准。首先,由于加壳的主要目的在于让自己所生成的木马程序不被发现,所以需要选择一款保护型的加壳软件。其次,由于一些常见的加壳格式往往已经被防病毒厂商研究的比较彻底,所以选择一些相对不太常见的加壳软件往往能避免防病毒软件对加壳后的文件进行脱壳。最后,了解目标的信息永远是提高成功率的有效步骤,如果能知道目标服务器上所使用的防病毒系统的具体情况,则能够有的放矢,降低木马程序被解壳的可能性。
在经过几次实验之后,Jack最终选择了ACProtect 2.0,这款加壳软件具有很强的文件变形能力,对于想欺骗防病毒软件检测的Jack来说最合适不过了。而且该软件并不是非常常用,符合“潜行于野”的标准。打开ACProtect的主界面,选择要加壳的木马程序文件server.exe,并设置加壳后的文件名为server_shell.exe。点击界面右侧的Options选项页,可以进一步调整加壳过程中使用的设置,一般情况下使用默认选项已经足够了。很快的,Jack就使用该软件完成了木马程序的加壳工作。
根据Jack的了解,自己生成木马的服务器上安装的是一套卡巴斯基的防病毒软件,但是版本不详。为了稳妥起见,Jack通过卡巴斯基5.0版本的引擎对木马程序进行了检测,结果非常令人满意,卡巴斯基只能发现加壳前的木马程序而无法检测出加壳后的木马程序。最后Jack没有忘记对木马程序的功能进行一番详细的测试,在确认木马程序可以正常工作之后,Jack再次准备在QQ上呼叫目标了。
Jack的家 2006.1.17 星期二 21:23
对方似乎很喜欢Jack的图片供应,再次中招后的目标计算机主动的连接到了Jack的木马控制端,这个时候的Jack已经拥有了对方计算机的几乎所有权限,深入虎穴的时候终于来到啦。
互动提示:
随着故事的进展,我们的剧中人物已经陆续出场啦,在下一集里Jack将利用获得的控制权进一步开始他的调查工作,读者朋友们也会与Jack继续一起历险。我们这期的互动调查是与我们的主人公们有关的哦,大家希望我们的主人公继续使用英文名字还是改用中文名字呢?期待大家的意见。
本文转自 离子翼 51CTO博客,原文链接:http://blog.51cto.com/ionwing/61203,如需转载请自行联系原作者