亚欧乱亚欧乱色视频免费_ IExpress全力打造“免檢”木馬

IExpress全力打造“免檢”木馬

IExpress小檔案

出身:Microsoft

功能:專(zhuān)用于制作各種 CAB 壓縮與自解壓縮包的工具。

由于是Windows自帶的程序，所以制作出來(lái)的安裝包具有很好的兼容性。它可以幫助木馬傳播者制造不被殺毒軟件查殺的自解壓包，而且一般情況下還可偽裝成某個(gè)系統軟件的補丁(如IE的hotfix)來(lái)迷惑人。

到哪里尋找永遠都不會(huì )被查殺的捆綁方法或工具?遠在天邊，近在眼前?？汕f(wàn)別忘了與你朝夕相處的Windows。此次所要介紹的捆綁工具就是Windows自帶的一個(gè)小巧的軟件IExpress(適用于2000和XP系統)。

原理

IExpress使用了多種不同的自解壓縮文件技術(shù)對軟件更新文件進(jìn)行打包，這些自解壓包能夠自動(dòng)運行程序包中包含的EXE程序。IExpress技術(shù)是Microsoft使用的一項技術(shù)，用于為某些Microsoft Internet Explorer版本、某些Windows版本以及其他多種產(chǎn)品創(chuàng )建軟件更新程序包。

如何確定某個(gè)軟件更新程序包是否使用了IExpress呢?方法如下:

1.右鍵單擊該程序包，然后單擊“屬性”。

2.在“常規”選項卡中，查看“描述”。使用了IExpress技術(shù)的軟件更新程序包中會(huì )包含“Win32 Cabinet Self-Extractor”字樣。

實(shí)際操作

在這一部分，筆者將以實(shí)例的形式為大家詳細講解捆綁木馬的整個(gè)過(guò)程。

第一步

在“運行”對話(huà)框中輸入IExpress就可啟動(dòng)程序(圖1)。

在開(kāi)始的時(shí)候會(huì )有兩個(gè)選項供你選擇，一個(gè)是創(chuàng )建新的自解壓文件(Create new Self Extraction Directive file)，另一個(gè)是打開(kāi)已經(jīng)保存的自解壓模板“.sed”文件(Open existing Self Extraction Directive file)。我們應該選擇第一項，然后點(diǎn)擊“下一步”按鈕。

第二步

接下來(lái)選擇制作木馬自解壓包的三種打包方式(圖2)，它們分別是建立自解壓并自動(dòng)安裝壓縮包(Extract files and run an installation command)、建立自解壓壓縮包(Extract files only)和建立CAB壓縮包(Create compressed files only)。

因為我們要制作的是木馬解壓包，所以應該選擇第一項。在輸入壓縮包標題后點(diǎn)擊“下一步”按鈕。

第三步

在“確認提示”(Confirmation prompt)這一環(huán)節，軟件會(huì )詢(xún)問(wèn)在木馬程序解包前是否提示用戶(hù)進(jìn)行確認，由于我們是在制作木馬程序的解壓包，當然越隱蔽越好，選擇第一項“不提示”(No prompt)，這么做的目的是讓中招人毫無(wú)防備。點(diǎn)擊“下一步”按鈕，在接下來(lái)的添加“用戶(hù)允許協(xié)議”(License agreement)中添加一個(gè)偽裝的用戶(hù)協(xié)議迷惑中招者，選擇“顯示用戶(hù)允許協(xié)議”(Display a license)，點(diǎn)擊“Browse”選擇一份編輯好的TXT文檔，此文檔可以用微軟公司的名義來(lái)編輯，設置完畢后點(diǎn)擊“下一步”。這一步的目的是迷惑對手并隱藏木馬安裝的過(guò)程。

第四步

現在，我們就進(jìn)入了文件列表窗口(Packaged files)。點(diǎn)擊該窗口中的“Add”按鈕添加木馬和將要與木馬程序捆綁在一起的合法程序。根據剛才編輯的協(xié)議文件的內容添加合法程序。例如，你制作的協(xié)議和IE補丁包相關(guān)，那么你就可將木馬和一個(gè)正常的IE補丁包添加進(jìn)來(lái)。

隨后進(jìn)入安裝程序選擇窗口，指定解壓縮包開(kāi)始運行的文件(Install Program)和安裝結束后運行的程序(post install command)。例如，在Install Program內設置正常的IE補丁包先運行，此時(shí)木馬并未運行，在中招者看來(lái)的確是一個(gè)IE補丁包。在post install command內設置木馬程序，這樣在IE補丁包安裝完畢時(shí)，木馬程序將會(huì )在后臺執行，我們的目的也就達到了。

第五步

接下來(lái)選擇軟件在安裝過(guò)程中的顯示模式(Show window)。由于我們的木馬是和合法程序捆綁在一起的，所以選擇“默認”(Default)即可。接下來(lái)進(jìn)行提示語(yǔ)句(Finished message)的顯示設置，由于我們做的是木馬捆綁安裝程序，當然應該選擇“No message”。

第六步

上述設置完成后，接著(zhù)設置自解壓程序的保存位置和名稱(chēng)。在這里要選擇“Hide File Extracting Progress Animation from User”，以便隱藏解壓縮過(guò)程，有助于隱藏某些木馬程序啟動(dòng)時(shí)彈出的命令提示框。最后，設置在軟件安裝完成后是否重新啟動(dòng)(Configure reboot)，可以根據實(shí)際需要來(lái)選擇。如果你所用的木馬是“即插即用”的，那么就選擇“No reboot”;如果所采用的木馬用于開(kāi)啟終端服務(wù)，那么可選擇“Always reboot”，同時(shí)選擇“重新啟動(dòng)前不提示用戶(hù)”(Do not prompt user before reboot)。

在保存剛才所做的設置后點(diǎn)擊“下一步”按鈕，即可開(kāi)始制作木馬自解壓程序。

整個(gè)制作過(guò)程是在DOS下進(jìn)行的，在完成度達到100%后會(huì )彈出提示窗口，點(diǎn)擊“完成”，木馬程序與合法程序的捆綁工作就完成了(格式為EXE)，直接雙擊即可運行。你再用殺毒軟件查一查。怎么樣?已經(jīng)完全不會(huì )被查出來(lái)了吧。

現在還等什么?趕快利用“木馬屠城”介紹過(guò)的網(wǎng)頁(yè)木馬傳播技術(shù)或木馬電子書(shū)技術(shù)發(fā)布你的木馬去吧。當然，你也可以把它作為IE的重要補丁發(fā)送給別人。

不用第三方工具，無(wú)需過(guò)多的加殼偽裝，讓“Windows”來(lái)為我們服務(wù)，為我們捆綁木馬，豈不快哉。

防范措施

可以先檢查可疑的程序包是否采用了IExpress技術(shù)(“原理”部分已介紹)。如果采用了IExpress技術(shù)，那么你就得留心了，此時(shí)可以進(jìn)入命令提示符下使用“IExpress /c”命令來(lái)解壓縮文件(不進(jìn)行安裝)以檢查程序包中是否有木馬，同時(shí)還可加上參數“/t:path”指定解壓路徑。

編后:

普通用戶(hù)應該提高警惕了，很多木馬制作者了解到用戶(hù)對漏洞的恐懼，利用用戶(hù)急著(zhù)打最新補丁的心理借機入侵。在看似合法的補丁程序中，極有可能隱藏著(zhù)木馬程序。所以，在此提醒大家，千萬(wàn)不要在操作系統和軟件的非官方站點(diǎn)下載補丁程序包，因為這些程序包很有可能是被捆綁了惡意程序的虛假程序包。

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久