实验13 木马捆绑与隐藏
实验13 木马捆绑与隐藏
木马捆绑与隐藏12.2.1 背景描述木马并不是合法的网络服务程序,如果单纯以本来面目出现,很容易被网络用户识别。
为了不被别人发现,木马制造者必须想方设法改换面貌;为了诱使网络用户下载并执行它,黑客将木马程序混合在合法的程序里面,潜入用户主机。
在受害主机里,为了逃避杀毒软件的查杀,木马也会将自己“乔装打扮”;为了防止用户将其从系统里揪出来,木马则采取一切可能的手法进行隐藏自己。
总之,现在的木马制造者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者,而用户一旦不慎打开这些文件,木马就自动执行了,主机就中木马了。
12.2.2 工作原理1.木马捆绑木马捆绑即是文件捆绑,黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。
这是一种最简单也是最可行和最常用的一种方法,当受害者下载并运行捆绑了木马等恶意程序的文件时,其中的木马等恶意程序就会被激活。
木马捆绑的手段归纳起来共有四种:(1)利用捆绑机软件和文件合并软件捆绑木马;(2)利用WINRAR、WINZIP 等软件制作自解压捆绑木马;(3)利用软件打包软件制作捆绑木马;(4)利用多媒体影音文件传播。
2.木马隐藏隐藏是一切恶意程序生存之本。
以下是木马的几种隐藏手段:(1)进程隐蔽:伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。
真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作,做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。
(2)伪装成图像文件:即将木马图标修改成图像文件图标。
(3)伪装成应用程序扩展组件:将木马程序写成任何类型的文件(如dll,ocx等),然后挂在十分出名的软件中。
因为人们一般不怀疑这些软件。
(4)错觉欺骗:利用人的错觉,例如故意混淆文件名中的1(数字)与l(L的小写)、0(数字)与o(字母)或O(字母)。
木马的植入自启动和隐藏
计算机病毒与防治课程小组
木马自启动途径
3 加入系统启动组
在启动文件夹[Windir]\start menu\programs\startup\中 添加程序或快捷方式,也可修改册表的位置:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\Shell Folders Startup]="windows\start menu\programs\startup"
计算机病毒与防治课程小组
木马入侵
通过缓冲区溢出植入木马
上面的strcpy()将直接吧str中的内容copy到buffer中。这样只要str 的长度大于16就会造成buffer的溢出,使程序运行出错。存在象strcpy这 样的问题的标准函数还有strcat(),sprintf(), vsprintt(), gets(), scanf(),以及在循环内的getc(), fgetc(), getchar()等。当然,随便 往缓冲区中填东西造成它溢出一般只会出现Segmentation fault错误,而 不能达到攻击的目的。 如果在溢出的缓冲区中写入我们想执行的代码,再覆盖函数返回地址的 内容,使它指向缓冲区的开头,就可以达到运行其它指令的目的。
通过电子邮件传播是一种最简单有效的方法,黑客通常给 用户发电子邮件,而这个加在附件中的软件就是木马的服务器 端程序。
缓冲区溢出攻击是植入木马最常用的手段。据统计,通过 缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。
计算机病毒与防治课程小组
木入侵
通过缓冲区溢出植入木马
缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段, 通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从 而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。 造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例 如下面程序: void function(char *str){ char buffer[16]; strcpy(buffer,str); }
木马捆绑方法
WinRAR是网上常用的一个压缩/解压缩软件,支持包括zip在内的多种压缩格式,压缩率高,现在越来越多的人喜欢用WinRAR来压缩软件了。
优点:
1、WinRAR“捆绑”的文件是永远不会被杀的,不用担心哪天杀毒软件会瞄上你的“捆绑机”。
2、等第一个正常程成的程序稍嫌偏大,我用WinRAR3.0生成的exe比rar文件大了不少,如果是“捆绑”大文件应该还可以。
现在点击“高级”标签,选择“全部隐藏”和“覆盖所有文件”这两个选项。这两个选项是为了不让rar解压的时候弹出窗口。然后点击“文字和图标”标签,选择你喜欢的图标吧。
点击两下确定返回,在同一个目录下就会生成一个与rar同名的exe文件,这个就是“捆绑“后的文件了。你也可以给文件更名。比如“我的照片.jpg.exe”。注意,文件后缀名一定要是exe。
利用它的自解压和文件运行功能可以实现捆绑机的基本要求。
首先我们选定两个文件“server.exe”和“我的照片.jpg”,点击右键选添加到“XXXXX.rar”。(XXXXX为你文件所在的目录) 然后双击打开生成的这个rar文件,点击工具栏上的自解压图标。在弹出的对话框中选择高级自解压选项。在“解压路径”中填入你要解压的路径, %systemroot%temp表示系统安装目录下的temp文件夹,一般是c:winnttemp文件夹。“解压缩之后运行”中输入木马的服务端“server.exe”,“解压缩之前后运行”中输入“我的照片.jpg”。此处有一定的欺骗性。生成后的程序运行时会先调用默认关联的图片查看程序来打开“我的照片.jpg”,等关闭这个图片查看程序后才会去运行“server.exe”,可以起到一定的迷惑作用,所以顺序一定不能颠倒,否则就露馅了。
如何预防木马-结合木马的藏身之所,隐藏技术,总结清除木马的方法.
如何预防木马?结合木马的藏身之所,隐藏技术,总结清除木马的方法.
《如何预防木马?结合木马的藏身之所,隐藏技术,总结清除木马的方法.》是一篇好的范文,感觉很有用处,重新编辑了一下发到。篇一:《计算机病毒》复习思考题2014 2014《计算机病毒》复习思考题第一手资料:教材、教学PPT必读参考资料:1.金山毒霸2013-2014中国互联网安全研究报告.doc 2.中国互联网站发展状况及其安全报告(2014年).pdf 3.瑞星2014年上半年中国信息安全报告.pdf 4.★★★安全防护宝典.各种病毒分析及攻击防御手册.doc 5.★★★木马防治之“葵花宝典”.doc 6.★★★深层病毒防护指南.doc 7.专题:★★★手动杀毒综合篇.doc 8.打造安全U盘(实验).doc 9.打造安全、流畅、稳定的系统.ppt主机入侵防御系统.ppt 11.关于HOSTS文件.doc 12.病毒触发条件.doc第一章计算机病毒概述1.简述计算机病毒的定义和特征。2.如何通过病毒的名称识别病毒的类型?3.计算机病毒有哪些传播途径??查找相关资料,试述计算机病毒发展趋势与特点。?研究计算机病毒有哪些基本原则?搭建病毒分析的环境有哪些方法?第2章预备知识1.硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区?2.低级格式化、高级格式化的功能与作用是什么?高级格式化(FORMAT)能否清除任何计算机病毒?为什么?下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?4.针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件
病毒实验报告
病毒实验报告——木马程序设计姓名:潘莹学号:U200915340 班级:信息安全0903班日期:2012.01.10目录木马原理 (3)实验目的 (9)实验设计 (9)实现的功能 (9)各个功能陈述 (10)实验模块 (11)socket编程 (11)隐藏技术——服务级木马 (13)钩子技术 (14)进程查杀 (15)实验详细设计 (15)实验截屏 (16)心得体会 (18)附录 (18)附录一木马程序源代码 (18)附录二钩子源代码 (37)附录三参考书籍 (45)木马原理一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。
控制端:对服务端进行远程控制的一方。
服务端:被控制端远程控制的一方。
INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。
控制端程序:控制端用以远程控制服务端的程序。
木马程序:潜入服务端内部,获取其操作权限的程序。
木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。
控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。
控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
木马原理用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步,下面我们就按这六步来详细阐述木马的攻击原理。
一.配置木马一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能:(1) 木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。
(2) 信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。
传统特洛伊木马的工作原理
史少甫 20092420229 通信2班一、什么是特洛伊木马特洛伊木马(TrojanHorse,以下简称木马)的名称取自希腊神话的特洛伊木马记。
木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。
特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。
这些权限并不是服务端赋予的,而是通过木马程序窃取的。
木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
1、硬件部分建立木马连接所必须的硬件实体。
控制端:对服务端进行远程控制的一方。
服务端:被控制端远程控制的一方。
I NTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
2、软件部分实现远程控制所必须的软件程序。
控制端程序:控制端用以远程控制服务端的程序。
木马程序:潜入服务端内部,获取其操作权限的程序。
木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
3、具体连接部分通过I NTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。
控制端I P,服务端I P:即控制端,服务端的网络地址,也是木马进行数据传输的目的。
控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
实验4-3的实验报告
电子科技大学实验报告学生姓名:学号:指导教师:实验地点:主楼A2-413-1 实验时间:一、实验室名称:主楼A2-413-1二、实验项目名称:木马技术初级实验1三、实验学时:1 学时四、实验原理:木马进行网络入侵,从过程上看大致可分为六步:(1)木马配置一般来说,一个成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下的功能:第一让木马程序更加隐蔽,比如隐蔽的文件名,文件图标,文件属性。
第二就是设置信息反馈的方式,比如在窃取信息后,发送邮件到攻击者,或者上传至某处等等。
第三就是如果是反向连接的木马,需要配置获得攻击者的IP并连接的具体方式。
(2)传播木马根据配置生产木马后,需要将木马传播出去,比如通过邮件诱骗,漏洞攻击等。
(3)运行木马在用户机器上木马程序一旦被运行后,木马便会安装并驻留在用户系统中。
木马通过各种手段防止不被用户发现,并且随系统启动而启动,以求获得最长的生命期。
并在这一期间会通过各种手段向攻击者发出反馈信息,表示木马已经获得运行。
(4)建立连接无论是正向连接还是反向连接的木马,都会在入侵用户机器成功运行伺机与攻击者获得联系,正向连接的木马往往是开发一个特定的端口,然后由攻击者扫描到被攻击机器建立连接。
如果是反向连接的木马,则是木马本身在一定的情况下获得攻击者的IP地址,并主动建立连接。
(5)远程控制攻击者一端与被控端建立连接后,它们之间便架起了一条网络通讯的通道,攻击者通过向被控端发出各种请求操作实现远程控制。
现在的木马程序功能都做的非常完善,操作远端机器就如同本地操作一样简单容易。
4.木马/后门的特点与技术(1)木马隐蔽技术木马的隐藏主要分为文件隐藏、进线程隐藏、端口隐藏、注册表隐藏等等。
隐藏的手段也多种多样。
并且这项技术是关乎木马本身生命周期的关键因素。
通过编写驱动程序隐藏木马的方法已非常多见,用户在未使用一些更高级的工具之前是无法发现木马的存在的,对于防病毒软件来说清除难度也较大。
详解常用的木马隐身术武林安全网-电脑资料
详解常用的木马隐身术武林安全网-电脑资料一、对木马使用花指令花指令就是指程序中包括了跳转指令及一些无用的指令在内的汇编指令段,有加区加花和去头加花两种,通常是用来改变程序的入口点或打乱整个程序的顺序,。
而一些杀毒软件在进行木马查杀工作时,都是按从程序的开头到结尾的顺序进行检测的,以此来找到与病毒库中某一特征码相似的特征。
甚至一些杀毒软件就是以程序的入口点作为特征码的。
因此,如果木马的程序顺序被打乱,或者程序的入口点被修改,那么,杀毒软件也就很难检测出它来,于是就达到了隐身的目的。
能完成这些工作的,就是在木马程序中使用花指令。
要在木马程序中使用花指令,可以有两种方式,一种是使用互联网上现成的,另一种是攻击者自己编写或者使用花指令生成软件。
由于互联网上现成的花指令同样会被杀毒软件厂商所得到,因此不会有什么好的保护效果。
对于有一定汇编技术的攻击者来说,就会使用自己编写花指令的方式,还可以使用一些花指令生成软件,如超级加花器和花蝴蝶等。
正是由于给木马添加不易被检测到的花指令需要高超的编程技术,也就很少有普通的攻击者使用这种方式,至少在没有陌生的花指令生成软件出现之前,是不太喜欢使用它的。
并且,由于对木马使用花指令也只是对其可执行文件本身有效,当其加载至内存后,这种隐身方式将失去作用。
因此,使用具有内存查杀功能的杀毒软件,就能够非常容易地检测到只使用这种隐身方式的木马病毒的。
在当前具有内存查杀功能的安全软件之中,查杀花指令保护木马比较好的就是EWIDO了。
也可以使用Ollydbg程序先将木马加入到内存中后再查杀。
同时,还可以使用像“花指令清除器”一类的花指令检测软件,来识别和除去花指令。
二、终止安全软件进程现在,几乎所有的木马都在使用一种十分有效的、躲避安全检测软件的方法,就是终止系统中所有安全软件的进程,从而达到了不会被查杀的目的。
而要实现这种功能,只要木马能够枚举系统中的所有正在运行的进程,然后从中找到匹配的安全软件进程名,通过发送一个终止进程的Windows消息给它,就可以结束这些正在运行的安全软件,电脑资料《详解常用的木马隐身术武林安全网》(https://www.)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
木马捆绑与隐藏
12.2.1背景描述
木马并不是合法的网络服务程序,如果单纯以本来面目出现,很容易被网络用户识别。
为了不被别人发现,木马制造者必须想方设法改换面貌;为了诱使网络用户下载并执行它,黑客将木马程序混合在合法的程序里面,潜入用户主机。
在受害主机里,为了逃避杀毒软件的查杀,木马也会将自己“乔装打扮”;为了防止用户将其从系统里揪出来,木马则采取一切可能的手法进行隐藏自己。
总之,现在的木马制造者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过网页、QQ、Email或MSN等将这些文件传送给受害者,而用户一旦不慎打开这些文件,木马就自动执行了,主机就中木马了。
12.2.2工作原理
1.木马捆绑
木马捆绑即是文件捆绑,黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。
这是一种最简单也是最可行和最常用的一种方法,当受害者下载并运行捆绑了木马等恶意程序的文件时,其中的木马等恶意程序就会被激活。
木马捆绑的手段归纳起来共有四种:
(1)利用捆绑机软件和文件合并软件捆绑木马;
(2)利用WINRAR、WINZIP等软件制作自解压捆绑木马;
(3)利用软件打包软件制作捆绑木马;
(4)利用多媒体影音文件传播。
2.木马隐藏
隐藏是一切恶意程序生存之本。
以下是木马的几种隐藏手段:
(1)进程隐蔽:伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。
真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作,做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。
(2)伪装成图像文件:即将木马图标修改成图像文件图标。
(3)伪装成应用程序扩展组件:将木马程序写成任何类型的文件(如dll,ocx等),然后挂在十分出名的软件中。
因为人们一般不怀疑这些软件。
(4)错觉欺骗:利用人的错觉,例如故意混淆文件名中的1(数字)与l(L的小写)、0(数字)与o(字母)或O(字母)。
(5)合并程序欺骗:合并程序就是将两个或多个可执行文件结合为一个文件,使这些可执行文件能同时执行。
木马的合并欺骗就是将木马绑定到应用程序中。
3.木马捆绑的过程分析
入侵者可以把木马和正常文件捆绑成一个文件作为伪装,当远程主机的管理员打开文件的同时会自动执行木马和正常文件。
在管理员看来,他们打开的只是那个正常的程序,却不知已经被种植了木马。
大家总感觉自己莫名其妙地被种了木马,可能入侵者也是通过这个方法得逞的。
下面来了解一下入侵者是如何通过文件合并工具制作木马捆绑的。
(1)文件合并工具之Deception Binder2.1。
它是国外的一个文件合并器,小巧而功能强大。
能够捆绑任意格式(包括test、jpg)文件;能够设置打开文件是否隐蔽运行;能够设置打开文件是否加入注册表启动项;能够设置打开文件时是否显示错误信息以迷惑对方。
(2)文件合并工具之IExpress。
IExpress是微软为压缩CAB文件及制作安装程序所开发的小工具,其实应该算是MAKECAB的一个Shell。
虽一直藏身于微软的产品中,却从未对它说明过,但不能否认是一款不错的免费软件。
(3)文件合并攻击之灰鸽子。
灰鸽子是国内一款著名后门。
比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。
其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。
客户端简易便捷的操作使刚入门的初学者都能充当黑客。
当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。
4.防御策略
首先应当在系统里安装防毒杀毒软件,将木马挡在系统的大门之外。
而针对一些顽固的木马,则可以采用一些技术手段来应对。
如针对捆绑在文件中的木马可以采用如下策略:(1)使用MT捆绑克星识别捆绑的木马
文件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来判断的。
程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。
此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!
(2)使用无忧文档探测器(Fearless BoundFileDetector)清除捆绑在程序中的木马光检测出了文件中捆绑了木马,然后利用清除工具将木马清除掉。
如“无忧文档探测器“就是一款清除捆绑文件中的木马的工具。
使用时,程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“CleanFile”按钮,在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马即可。
(3)针对隐藏在系统中的木马,如下是一些策略建议:
①打开win.ini文件,在[WINDOWS]下面,查看“run=”程序和“load=”程序,里面是否包含了木马程序;
②打开system.ini文件,在[BOOT]下面查看“shell=”文件是否含有木马;
③在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下查找“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序。
④有的木马程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的木马键值删除就行了,因为有的木马如BladeRunner木马,如果直接删除它,木马会立即自动加上,需要先记下“木马”的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
重新启动计算机,然后再到注册表中将所有木马文件的键值删除。
最后,用户应养成良好的上网习惯,不随便访问来历不明的网站,不使用来历不明的软件等。
12.2.3实验列表
实验序号实验名称
实验一木马捆绑实验
【实验一】木马捆绑实验
【实验分析】
实验目的:
掌握木马捆绑的基本内容、学会利用灰鸽子对文件进行简单的木马捆绑。
场景描述:
图12-2-1木马捆绑实验拓扑图
本实验可以在虚拟机环境下完成,实验拓扑图如图12-2-1所示,对应的IP地址与角色如表12-2-1所示。
实验思路是采用万能文件免杀捆绑器木马捆绑,再从受害主机下载运行捆绑木马文件。
IP地址任务与角色
A192.168.228.177攻击源(主机A,制作捆绑木马)
B192.168.228.41受害主机(主机B,运行木马)
表12-2-1对应的IP地址与角色
实验工具:万能文件免杀捆绑器、灰鸽子2008。
【实验步骤】
1.攻击源机器网络配置如下(图12-2-2):
图12-2-2攻击源机器网络配置
2.攻击目标机器网络配置如下(图12-2-3):
图12-2-3攻击目标机器网络配置
3.运行灰鸽子软件,以生成灰鸽子木马程序(图12-2-4):
图12-2-4灰鸽子程序主界面
4.点击“配置服务程序”,在“说明”中输入IP地址“192.168.228.177”;
5.选择“安装选项”,在“程序安装成功后提示安装成功”前打上勾(图12-2-5);
图12-2-5选择安装选项
7.在“高级选项中”,“使用UPX加壳”,点击“生成服务器”,生成灰鸽子木马程序文件“Server.exe”(图12-2-6);
图12-2-6使用UPX加壳,并点击“生成服务器”
8.将“Server.exe”复制到“连连看”文件夹;
9.运行万能文件免杀捆绑器,添加捆绑文件“llk46jzb.exe”和“Server.exe”(图12-2-7);
图12-2-7进行文件捆绑
10.点击捆绑文件,保存生成了被捆绑了木马程序的游戏程序文件。
(注意给捆绑木马修改个名字如:游戏之类的);
11.重命名“捆绑文件.exe”为“飞鸽(1).exe”;
12.在目标机器上,运行安装捆绑有木马程序的捆绑文件;
13.回到攻击主机,灰鸽子上显示中了木马的机器已经上线,在攻击机上的灰鸽子软件上可以看到目标机器的相关信息情况(图12-2-8):
图12-2-8查看目标机器上信息
14.远程登陆到目标主机的桌面和查看远程机器的网络配置,表明攻击成功(图12-2-9)。
图12-2-9远程登陆到目标主机的桌面。