反弹端口型木马

反弹端口型木马

为什么要“加/脱壳”?对于黑客来说，这项技术被淋漓尽致地应用到了伪装木马客户端上，目的是为了防止被杀毒软件反跟踪查杀和被跟踪调试，同时也防止算法程序被别人静态分析。

　　 用pe-scan给木马脱壳

　　木马研究爱好者cytkk第一时间在国外某著名黑客论坛下载到了最新的反弹端口型木马(以下简称木马Z)，正欲体验其强大的功能时，不料被Norton Antivirus逮个正着，令人郁闷不已。cytkk企图使用加壳软件UPX(Ultra Packer For executable)对它进行简单包装来骗过杀毒软件，哪料提示加壳失败，检测得知木马Z早已被程序作者用UPX压缩，当务之急是要先去除这个已被Norton Antivirus识破的“烂”壳。

cytkk运行一款名叫pe-scan 3.31的软件。点击“open”打开木马Z的客户端，在居中的显示框内得知加壳类型为UPX，再点击“unpack”→“start”，cytkk按照提示设置好保存目录和文件名就完成了整个脱壳操作。这样一来就得到了木马Z的原始客户端程序。

　　高手传经:在经过复杂的多重加壳后，检测出的结果就不一定准确了，此时就需要使用“adv.scan”高级扫描， pe-scan会分析出被各种加壳工具加壳的可能性。

　　 重新加壳欺骗杀毒软件

　　接下来cytkk要做的就是给木马Z的原始客户端进行一次成功的加壳，根据以往的经验，此时用ASPack1.12是个明智之举，它拥有标准的Windows界面，操作简单直观。为了保证加壳后程序的完整性，cytkk放弃了最大可能的压缩，在“选项”中去掉了“压缩资源”的勾选并选择了“保留额外数据”。“压缩”选项很直观，有两个进度条，上面一个表示压缩进度，下面一个则是压缩后的文件大小。压缩完成后，cytkk便迫不及待地点击左边的“测试”按钮来进行完整性测试。结果没让cytkk失望，ASPack的出色表现使以严厉著称的Norton Antivirus对加壳后的木马Z也视而不见了。

0人

了这篇文章

类别： 杂文┆阅读( 0)┆评论( 0) ┆ 返回博主首页┆ 返回博客首页

上一篇 新手入侵 下一篇 管理员小技术

相关文章

• 黑客及木马攻击常见端口的关闭
• 封杀木马端口工具
• 常见木马和未授权控制软件相关端口的关闭方法
• 灰鸽子病毒――网络神偷之后应用最广的反弹..

职位推荐

• web前端开发工程师
• 安全服务工程师
• 信息安全渗透工程师
• 安全开发工程师-支付产品技术部
• 渗透工程师/资深渗透工程师

文章评论

 

 

发表评论            

昵  称：

登录  快速注册

验证码：

点击图片可刷新验证码请点击后输入验证码博客过2级，无需填写验证码

内  容：

同时赞一个