木马加壳易容术
网络安全
与Ivon电话连线 2006-07-22 星期六 9:05
Jack:很抱歉在休息日打扰你,Ivon。
Ivon:是你啊,英雄!
Jack:(*@*#*#!#$&,看来传言还不少呢)
Ivon:什么事情啊?
Jack:有点问题不知道用什么方法解决比较好,想请教你一下。我想调查一下偷SunQQ号码的家伙是不是一个职业盗号者,因为他的行为想惩戒他一下,顺便也练习一下自己的技术啦。
Ivon:哦,你还要继续深入啊,我倒是很佩服你的执着呢。
Jack:这不是卡在这里了嘛,我想还用取回QQ账号的老办法,用木马程序远程控制对方的机器,但是没有放置木马的网络服务器,每次生成的木马好像都被服务器上的防病毒软件杀掉了。
Ivon:嗯,思路不错,看准敌人的弱点进行攻击,有天分哟。处理这种问题的方法很多了,有简单的也有复杂的,看你想怎么解决喽。简单的方法嘛,找一台没有防病毒系统的服务器、不使用网页木马从理论上讲都可以解决你的问题,不过既然你的前期准备都已经做的很充分了,又这么想学点东西,我推荐你伪装一下你的木马程序,避开防病毒系统的监控程序就可以了。
Jack:就像武侠小说里的易容术一样?
Ivon:(这小子的发散思维还不错呢)你知道程序的加壳技术吗?
Jack:听说过一点。
Ivon:加壳可以对可执行程序和DLL文件进行封装,起到缩减文件大小和保护文件内部机制的作用。就你的情况来说,加壳可以在一定程度上对文件做出改变,在很多时候可以骗过防病毒软件的检查,因为这些软件毕竟是以特征识别为基础的嘛,你的文件变化得足够彻底特征识别就会失效。
Jack:了解了,这种方法确实有点意思,我去研究一下先,谢谢你啦Ivon。
Ivon:嗯,再见喽!(Jack这家伙并不死缠烂打地一问到底,能够自己钻研问题,看来我对他的评价并不虚妄啊,他也许真的天生具有黑客精神)
市立图书馆 2006-07-22星期六 13:10
吃了什锦炒饭的Jack有点昏昏沉沉的,好在图书馆的冷气够足,勉强将睡意驱走的Jack在社科部疯狂地攻读加壳技术方面的书籍。小半天下来,Jack已经略有所成,至少应用加壳技术对木马程序进行伪装是没有问题了,带着小小的成就感,Jack班师回家啦。
Jack学习笔记之加壳技术
“壳”与文件病毒所使用的机制具有一定的相似性,通过修改文件的内部结构从而获得更高的控制权,在获得控制权后“壳”一方面在内部中转原有程序的各种操作和调用,一方面执行自己的任务。
通常的加壳过程都是通过加壳工具软件完成的,对文件结构熟悉的计算机用户也可以通过一些专用的编辑工具手动加壳。一般意义上的加壳软件只限于对可执行文件加壳,虽然包括压缩软件在内的一些文件管理工具都具有与加壳软件相似的工作原理,但是并不纳入加壳软件考虑范畴。
很多加壳软件在设计之初就将缩减可执行文件大小作为主要的目的。而另外一些加壳软件则致力于可执行文件的保护,防止对它进行跟踪、反编译、脱壳等操作。
Jack的家 2006-07-22 星期六 18:55
经过下午的学习,Jack已经确立了选择加壳软件的一些标准。首先,由于加壳的主要目的在于让自己所生成的木马程序不被发现,所以需要选择一款保护型的加壳软件。其次,由于一些常见的加壳格式往往已经被防病毒厂商研究得比较彻底,选择一些相对不太常见的加壳软件往往能避免防病毒软件对加壳后的文件进行脱壳。最后,了解目标的信息永远是提高成功率的有效步骤,如果能知道目标服务器上所使用的防病毒系统的具体情况,则能够有的放矢,降低木马程序被解壳的可能性。
在经过几次实验之后,Jack最终选择了ACProtect 2.0,这款加壳软件具有很强的文件变形能力,对于想欺骗防病毒软件检测的Jack来说最合适不过了。而且该软件并不是非常常用,符合“潜行于野”的标准。
打开ACProtect的主界面(图1),选择要加壳的木马程序文件server.exe,并设置加壳后的文件名为server_shell.exe。点击界面右侧的Options选项页,可以进一步调整加壳过程中使用的设置,一般情况下使用默认选项已经足够了。很快,Jack就使用该软件完成了木马程序的加壳工作。
根据Jack的了解,自己生成木马的服务器上安装的是一套卡巴斯基的防病毒软件,但是版本不详。为了稳妥起见,Jack通过卡巴斯基5.0版本的引擎对木马程序进行了检测,结果非常令人满意,卡巴斯基只能发现加壳前的木马程序而无法检测出加壳后的木马程序(图2)。最后Jack没有忘记对木马程序的功能进行一番详细的测试,在确认木马程序可以正常工作之后,Jack再次准备在QQ上呼叫目标了。
Jack的家 2006-07-22 星期六 21:23
对方似乎很喜欢Jack的图片,中招后的目标计算机主动地连接到了Jack的木马控制端,这个时候的Jack已经拥有了对方计算机的几乎所有权限,丰收的时候终于来到啦。