熱點推薦:
您現在的位置: 電腦學習網 >> 網絡技術 >> 正文

AngelShell木馬使用方法

2013-09-12 16:07:23  來源: 網絡技術 

  安裝了最新版的殺毒軟件對系統進行保護,時常查看進程,自認安全防護措施萬無一失,放心大膽地接收、運行別人發來的文件。然而,一段時間之后,機器中的文件被修改了。為什么防火墻、殺毒軟件沒有提示?為什么查看系統進程卻找不到任何可疑的跡象?為什么采取了這么多安全防護措施還是會“失守”?偽裝,你忽略了偽裝……
  相信大家已通過前幾期的“木馬屠城”欄目,學會了木馬的制作、應用和傳播方面的技巧。正所謂“師傅領進門,修行在個人”,今天大家就可依靠自己的力量,綜合“木馬屠城”曾介紹過的知識,使用目前最流行的木馬輔助工具,DIY一個安全性十足的后門程序,讓這個后門程序同時具備進程偽裝、后臺下載安裝、安全通過殺毒軟件等本領。(本文為WWW.SQ120.COM電腦知識網推薦文章)
  說干就干,找齊下表中所列出的工具后就可馬上開“攻”了。我們今天的目標就是要把一款優秀的AngelShell木馬(Angel.exe)修改成具有自動后臺下載、安裝并且能免被殺毒軟件查殺等特點的后門程序,同時還將它完美地種植到合法程序中去,讓攻擊目標防不勝防。
  下載地址:http://www.sixvee.com/520yy/cpcw/cytkk-5.rar
第一步:多重加殼求自保
  如果木馬程序被殺毒軟件查了出來,那我們的入侵就前功盡棄了,所以說給木馬加上一層“殼”(保護層)是目前應先做的事。www.hbhskj.tw對于廣大攻擊者而言,成功躲避殺毒軟件的追殺就可使自己的木馬順利地在別人的機器中安家,而要做到這一點會用到的技術就是多重加殼(偽裝殼+壓縮殼)。
  我們要用到的軟件就是采用多重加殼技術的EncryptPE,運行主程序EncryptPE.exe(圖1),在“加密文件”框內選擇要加殼的木馬文件“Angel.exe”,也可從資源管理器中將要加密的文件(EXE、DLL等)直接拖到 EncryptPE主界面中來。需要注意的是,在左側要選擇“壓縮自定義資源”和“文件中植入殼所需的DLL”。最后,直接點擊“加密”按鈕即可完成木馬程序的偽裝(加殼后的文件和原文件同名)。如此一來,再高明的殺毒軟件也會對經過我們手工加密后的木馬不聞不問。圖1
  提示:如果是NT服務程序,可選中“特征整數”右側的Service項。
  相對于簡單的加殼程序而言,EncryptPE具備操作更簡便的優勢,而且可以避免新手在進行多重加殼時走入誤區,即“先加壓縮殼,再加偽裝殼”(壓縮殼在內,偽裝殼在外,這種加殼方法是不安全的,極易被檢測或反編譯出來)。
  通過這一步,我們的木馬程序就不會被殺毒軟件檢測出來了。在自身安全有了高度保證的情況下,我們就可以進行下一步的偽裝,讓木馬程序在對方不知情的情況下自行下載并安裝。
第二步:暗度陳倉運木馬
  普通的木馬程序的體積都很龐大,如果貿然發送給對方勢必會引起懷疑,所以,我們得先讓對方執行一個小巧的后臺下載程序,從而間接種植真正的木馬。對于廣大攻擊者而言,這一技術無疑會讓木馬可以更隱蔽地在對方機器中安家。
  我們可以使用KaoTan Web Downloader,它能即時或定時下載指定URL的文件,并能放到我們事先設置好的指定的系統目錄并執行(全部操作均在后臺進行,前臺無任何運行痕跡)。值得一提的是,它可將自身注入到系統進程中,即使用戶使用進程查看軟件也無法看出任何蛛絲馬跡,隱蔽性極強,這也是我們選擇它的主要原因。
  運行主程序后,出現如圖2所示的界面,在Server選項卡中的“URL1”中輸入存放“Angel.exe”(由AngelShell.exe生成的服務端)的地址“http://www.***.com/Angel.exe”。“URL2”的功能與“URL1”相同,由于并不需要設置,所以可勾選“URL2”旁邊的“off”。然后在“Name1”中輸入程序下載后的程序名“name.exe”。圖2
  接下來,進入Options選項卡。為了增強隱蔽性,筆者建議大家進行以下設置,將后臺程序進程插入Explorer進程,存放目錄設為Temp目錄,同時設置后臺程序1分鐘后自動下載運行。設置妥當后,點擊“Build”按鈕就可生成能自動下載后門程序的name.exe。
  這樣一來,當別人運行name.exe后,程序會立即插入到系統的Explorer進程,并且會在60秒后自動下載我們指定的后門文件并運行,這樣一來就可以繼續我們進一步的入侵和控制了。
  通過這一步的操作,我們的木馬程序就可通過“繞彎”法,被安裝到被攻擊的機器上,這樣“曲折”的安裝方式在一定程度上加強了木馬的隱蔽性。但是,我們還需要使它“合法”。
第三步:合法程序藏木馬
  萬事俱備,只欠東風。木馬基本上偽裝完畢了,但是將這個“赤裸裸”的木馬程序發給別人,傻瓜才會上當呢。因此,最后的這一個環節,大家一定要將木馬程序植入到“合法”程序中去,讓對方“放心接受”。
  對文件捆綁技巧,大家應該再熟悉不過了,正是因為它的流行,才造就了一批批木馬的擴散,不過樹大招風,在殺毒軟件的圍剿下,捆綁方式已經面臨淘汰。然而,正所謂“野火燒不盡,春風吹又生”,隨之而來的新“植入”方式也誕生了(即程序插入技術)。
  運行主程序RobinPE.exe后(圖3),我們在“后門文件”欄中選擇了剛才生成的name.exe,然后在“整體植入”欄中選擇一個合法的應用程序。軟件會自動計算后門的空間和原程序的空間,并且會根據它們的大小得出結論,如果可以植入就會提醒我們“可以試試”。不過,我們生成的name.exe在經過EncryptPE壓縮后只有十幾KB,非常容易實現植入。圖3
  提示:整體植入是將文件植入到一個exe文件之中。以后每次正常啟動文件,我們植入的文件就會悄悄的生成并執行。
  設置完畢,點擊“開始植入”就完成了木馬植入工作。現在,當對方運行看似“合法”的程序時,木馬早已悄悄安家落戶了。
  隨著這一步的完成,我們的木馬程序就已被包裝得有模有樣了,不僅有了可以躲避殺毒軟件的馬甲,更有可以躲過被攻擊者雙眼的“合法”的外衣。如此一來,最后生成的這個看似合法的程序實際上就是我們的“完美后門”了。
  通過以上三個步驟的改造,試驗對象“AngelShell”(也可以是其他任何一款木馬程序)如虎添翼,對方想不中招都不行。這也說明了我們身邊有些工具在單獨使用時看似簡單無用,其實不然,只要我們有目的性地,巧妙地結合它們,這樣所創造出來的威力是不容小視的。
  希望廣大讀者能夠真正體會到木馬世界的千變萬化,做到真正的“舉一反三”、“一通百通”。
小知識:AngelShell木馬
  我們知道,網上能穿透硬件防火墻的后門程序非常少。但是,AngelShell不僅可以穿透防火墻實現反向連接,而且它還可以讓所有正向連接的程序都實現反向連接。
  AngelShell的另外一個特色就是它能開啟一個專門用來保護自己的線程。它能每隔0.2秒就檢查一次注冊表,一旦發現對自己不利的修改都會進行阻止。另外,程序的加載采用服務共享的方式,程序在啟動之后是無法停止的,所以中招者無法停止服務也無法修改它的屬性,除了重裝系統沒有其他的清除辦法。如此強大的自我保護功能,非常有利于我們長期控制肉雞。

 
SuperScan和Hide工具簡介 如果用戶要進行端口掃描的話,當然首選SuperScan。SuperScan是一款基于TCP協議的端口掃描器、Pinger和主機名解析器。它通過多線程和異步技術的運用,使程序具有極快的掃描速度和極多的功能,不但界面友好,而且還能清晰地顯示出對方端口的回應信息。SuperScan可以針對任意的IP地址范圍的Ping和端口掃描,并且能同時掃描多個任意端口;解析和反向解析任意IP地址或范圍;使用內建編輯器修改端口列表及端口定義;使用用戶自定義的應用程序與任何被發現打開的端口進行連接;查看被連接主機的回應;保存掃描列表到文本文件中。

我們在使用電腦的時候,常常會運行一些黑客工具,但又怕被別人發現。比如我們在網吧上網,為了能夠免費上網,常常運行一些網吧管理軟件的破解程序,但又怕被網吧管理員發現,這時使用HIDE就可以通過進程的ID來隱藏這個進程所包含的所有窗口,這樣就可以明目張膽地在管理員眼皮底下干“壞事”。首先我們通過系統的“任務管理器”得到進程的ID,然后在CMD下執行HIDE,它一共有兩個差數進行選擇,差數“1”表示隱藏進程的窗口,而差數“2”表示顯示進程的窗口,這樣用戶就可以及時地隱藏相應的進程。  
提示Monitor Waning怎么辦 問:我最近配了一臺P4電腦,采用的是微星845 Pro的主板,但電腦每次啟動時都會出現一個“Monitor Waning”的提示。按Esc鍵可以跳過,以后運行一切都正常。這到底是怎么一回事? www.sq120.com推薦

答:這是因為主板的BIOS設置不當而導致的。首先需要弄明白“Monitor Waning”是什么意思,目前很多較新型號的P4主板都會提供一種所謂的“環境監測”功能,在這項功能中,有一項就是開機時自動對電腦的各項指標進行檢測。如果電腦各項參數指標存在問題的話,就會顯示出相應的提示。在這些檢測項目中的第一項就是電壓檢測,當電腦的電源輸出電壓高于BIOS中設置的數值時,就會出現上述的“Monitor Waning”提示。但是,此時提示的電壓指標過高,并會不影響電腦的正常使用。解決該問題的方法是開機后按Del鍵進入BIOS設置,然后參照主板說明書將里面的電源管理項目中的檢測電壓選項關閉,保存退出后就不會出現該提示了。  
From:http://www.hbhskj.tw/Article/Network/201309/1037.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.   
    体彩内蒙古十一选五82