木马屠“城”

网络通信

苗得雨 · 2004年8月2日

　　1.选马

　　鹿采薇在最初准备阶段选择了一个体积较小的木马，木马的体积有时往往是黑客能否成功将木马植入别人电脑的关键。因此鹿采薇在选择木马的时候很重视木马的体积。大家可以多尝试几种木马，比比看它服务端生成的体积的大小。请新手们注意，一定要分清木马的客户端和服务端，客户端是用来控制别人的，也就是自己操作的那部分。而服务端是发给别人的，也就是我们所说的木马。千万不要自己引火上身，自己给自己中了木马。在这里教你一个分辨木马客户端服务端的简单方法：通常客户端程序名称都带有Client，而生成的服务端则带有Server这几个字符串。不过也并不是所有的木马均是如此，所以在研究前最好看看程序附带的说明。

　　鉴于木马的种类繁多，而且配置方法不一，关于木马的配置方法，本文就不详细阐述了。

　　2.网页木马

　　鹿采薇所提到的网页木马，我们可以在黑客营兵器库中找到，这是一个供大家实验的程序，目的是让大家了解网络黑客多数会采用什么样的网页木马。该木马的特点是使用了菜鸟和一般人不熟悉的网络OCX控件做伪装，控件虽然只有短短的10KB，但是通过配合网页代码实现了木马自动下载和自动执行的功能，并且全部过程神不知鬼不觉。

　　代码中有几个地方在测试时需要我们修改，首先是：

　　prefix = “http://bbs.cpcw.com/kongjian/build/”;

　　把里面的http:// bbs.cpcw.com /kongjian 改成你申请的网站空间的目录。

　　其他的基本不用改动，因为如果不熟悉，一旦改动后就无法使用了。改动后的网页最后可以保存成任意的后缀为.html的超文本文件。但是注意，你要将window.location.href = 'cpcw.html'中的cpcw.html替换为你自己的超文本文件名。

　　而你要绑的木马就放在build文件夹下的build_1983和build_2000下面。

　　这里木马的名字必须是holistyc.mtree.exe。木马名字也是默认的，如果要换名字，就要把代码里面的holistyc.mtree.exe的名字换掉，使用写字板的查找替换就可以。

　　最关键的控件名字是preload.cab，这个控件如果要改名字，也要把代码里面的名字改成相应的名字。注意，preload.cab一定要放在build文件夹下

　　至于mm.html嘛，就放在build上一个文件夹下吧。

　　3.改变Boot.ini文件

　　说实话，改Windows的Boot文件是非常“损”的一招，因为不明真相的人很可能以为自己的硬盘出了问题，或者干脆就全部格式化硬盘。其实硬盘中的数据一个都没有丢，只不过系统因为Boot文件的改变，无法确认系统引导磁盘而已。Boot.ini文件隐藏在系统盘的根目录中，只需要点击“我的电脑→工具→文件夹选项”，在“查看”中将“隐藏受保护的系统文件”前面的钩去掉，然后再点击下面的“显示所有文件和文件夹”，你就可以看到你自己C系统盘下的Boot.ini文件了，不过千万不要修改啊。下面是鹿采薇给雪柔修改后的Boot.ini文件，你可以对照自己的正常文件看看鹿采薇修改了哪些文字。

　　[boot loader]

　　timeout=30

　　default=multi(8)disk(8)rdisk(8)partition(9)\WINNT

　　[operating systems]

　　multi(8)disk(8)rdisk(8)partition(9)\WINNT=“Microsoft Windows 2000 Prof essional” /fastdetect

　　如果你用木马客户端打开了别人机器中的C盘(系统盘)，就无须修改任何东西了，通常直接就可以在木马客户端的文件管理器中看到对方的Boot.ini。将自己的Boot.ini替换掉对方的，等对方一启动计算机后，自然就会提示找不到引导盘了。

　　4.捆绑木马

　　网上有很多可以自动捆绑木马的捆绑机，这种软件可以非常方便地将你指定的两个程序捆绑成一个程序。但是现如今很多杀毒软件都可以对付这种捆绑机所捆绑的嵌入木马程序，因此鹿采薇选用了WinRAR作为捆绑。

　　WinRAR是一种常用的解压缩软件，鹿采薇正是利用它的自动解压缩功能进行木马的捆绑，这样雪柔即便安装了杀毒软件也是无法进行查杀的。下面就请黑客营的兄弟们看一下鹿采薇是如何利用WinRAR进行木马捆绑的(鹿采薇所用的方法只是众多WinRAR捆绑中最简单的一种，大家熟悉后可以摸索更加复杂的方法)。

　　首先鹿采薇将自己需要捆绑的木马服务端程序和Windows补丁包选中，然后点击右键，在弹出的菜单中选择添加到“SSS.rar”。之后双击打开这个生成好的RAR文件，再点击工具栏上的自解压图标。在弹出的对话框中选择高级自解压选项。在“解压路径”中填入需要指定到的目录的路径位置，鹿采薇填入的是“%systemroot%\temp”，这样文件就可以解压缩到Windows系统目录下的Temp文件夹了。之后再在“解压缩后运行”中输入木马服务端程序的全名，例如“Server.exe”，在“解压缩前运行”中输入Windows补丁程序的全名。

　　欺骗就在这个地方，因为当该文件被双击自动解压缩后会先运行Windows补丁，然后在不知不觉中运行鹿采薇指定的木马程序。再一次提醒新手注意，解压缩前后的运行顺序不要搞颠倒，否则会露出破绽。最后，再点击“高级”标签，选择“全部隐藏”和“覆盖所有文件”这两项，这样雪柔在解压缩执行木马的时候不会弹出任何WinRAR的窗口，最后你需要同鹿采薇一样，在“文字和图标”中选择一个善于伪装的图标就可以了。

　　5.如何隐藏指向链接

　　鹿采薇如果随便给雪柔一个网址，雪柔肯定是不会点击的。那么她是如何骗过雪柔的眼睛的呢？鹿采薇正是利用了IE中的一个漏洞，而且这个漏洞至今都没有弥补。大家请将下面这串HTML代码输入你的记事本中，然后另存为HTML后缀的文件，再双击试试看。看似一个指向Windows Update的链接，却到了什么地方？

　　＜A HREF= http://www.microsoft.com/china/ alt=“http://www.microsoft.com/china/ ”＞

　　＜IMG SRC=“update.gif” USEMAP=“#Update Windows” border=0

　　alt=“http://www.microsoft.com/china/”＞＜/A＞

　　＜map NAME=“Update Windows” alt=“http://www.microsoft.com/china/”＞

　　＜area SHAPE=RECT COORDS=“224,21” HREF=“http://bbs.cpcw.com/”

　　alt=“http://www.microsoft.com/china/ ”＞