危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20613439

不会免杀也来“牧”马

说起挂马、绑马,是我等新手最喜欢干的事情了,可是也有一个很大的问题,就是我们不会制作免杀,没有免杀的木马在这个世界上可是很容易被查杀的,这极大的降低了我们抓肉鸡的成功率。难道不会免杀的我们就要这样忍气吞声吗?不,今天我就来告诉大家另一种绑马的方法。

来简单的说一下思路,因为我们的木马是没有经过免杀的,因此在杀毒软件强大的攻势下其结果可想而知,一定会死的很惨。为了能够运行木马,我们就必须要关掉杀毒软件,而且是让受害者自己退出杀毒软件。用户主动的关掉杀毒软件,绝大多数情况下是在运行大型游戏或是调用外挂时,我们就是要利用他们的这个心理,来达到种马的目的。

具体的实现方法是这样的,这个方法的灵感还来源于一篇文章,我们先找一个外挂之类的程序,然后在其安装目录下找到外挂的主程序文件,把它更改为“xxx.dll”的格式,比如更改为“1.dll”,然后再把木马复制到外挂的安装耳录下,也更改为“xxx.dll”的格式,比如“2.dll”。我就以“魔方教研室”这个软件来代表外挂,用计算器程序来代表木马,这样外挂的主程序就是“魔方教研室.exe”,而木马就是“calc.exe”,把“魔方教研室.exe”更改为“1.dll”,把“calc.exe”更改为“2.dll”并复制到程序根目录下。

接下来就是怎么运行“1.dll"和“2.dll”了,使用vbs来实现是一个很好的选择,代码如下:

我们把这个vbs文件放到外挂的根目录下。当然最好把它包装成exe文件并更改成外挂的主程序的名字,然后再更换一个和外挂一样的图标,这样迷惑性就更大了,成功的几率也更高。好了,运行一下来看看,两个程序都运行了,我们把“2.dll”删除掉,再来模拟一下杀毒软件删除木马的过程。

这样,就算是杀毒软件没有关闭,把我们的木马杀掉了,不明目的也就无法运行外挂了……,继而在屏幕上会显示“文件丢失,请关闭杀软后重新下载安装”的对话框,他们一定会乖乖的关掉杀软的……

相关推荐