危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20582279

让木马逃过系统还原的扼杀

现在很多公共场所的计算机都采用了系统还原功能,即在计算机每次重新启动后自动还原系统C盘,以达到防范木马病毒入侵的目的。这样,连大家们种的木马也都会在重启系统后被系统还原功能所扼杀。要破除系统还原?明显不大可能,因为一是不知道对方所使用的还原软件是什么,二是破解后很容易被对方察觉。难道面对这样的问题,就只能望而却步了?当然不,我们要相信一切皆有可能,这才是黑客精神!好了,闲话少说,让我们开始进入正题!

我说一下大致的破解思路,大家对U盘病毒都不陌生吧,也应该知道一个名为“Autorun.inf”的文件,U盘病毒就是通过这个文件来达到传播病毒的目的,也就是让用户在打开磁盘时启动病毒文件从而导致系统中毒。我打算在木马内写入一段代码,让木马文件被激活后在计算机各盘符下生成两个文件,一个为木马的客户端安装文件,一个为自动运行木马客户端的“Autorun.inf”文件。这样,当对方重新启动计算机后,虽然C盘已经被还原,使得木马失去了作用,但会在对方打开本地磁盘时再次启动木马程序。看到这儿,可能有人要问了,“我们都知道有病毒的U盘是打不开的,那你使用了‘Autorun.inf’这个文件,不会使得对方无法进入本地磁盘吧,那样的话岂不是更容易被对方所察觉!”呵呵,大家不用着急,慢慢往下看就知道了。

下面我就以远控木马MiniRat为例进行说明,先使用zeroadd给生成的木马客户端新增一个区段,我设置的大小为1127,然后使用LordPE查看,可知刚才添加区段的R偏移为D400,经OC转换后可得到内存地址为00420000。使用OD载入后文件后来到此地址处,选择一部分空代码段(尽量多选点),然后单击右键,在弹出的菜单中选择“二进制”一“编辑”,并在ASCII框内写入以下代码:

然后点击“确定”完成,注意上面的代码在输入时各命令间一定要使用“&”连接,并且在输入时不用分行,上面我分行写出来只是为了方便注释和大家分析。

给大家简单的解释一下,首先要说明的是上面为批处理代码,开头的“cmd/c”也就是执行完命令后若闭命令窗口,接下来便是通过“echo”命令创建Autorun.inf文件并向内写入信息,这个文件存放在磁盘根目录后,无论是双击打开还是点击右键打开或是使用资源管理器打开都会激活木马客户端。但很明显,光是这样的话会使对方无法打开硬盘的,所以我在后面加上了命令,先判断当前文件路径是否在磁盘根目录下,是的话就打开相应磁盘,否则就不采取任何行动。

好了,解释完毕,开始进行下一步,在刚才输入的代码下一行进行汇编修改。

输入完毕后保存,然后打开LordPE,把入口点地址改为“push CMD代码开始地址”这句代码的R偏移地址后就大功告成了,测试没问题后就尽情的去抓鸡吧,抓完了记得分我两只哦!

当然,在此我只是简单的介绍了一下这个方法,其实它的利用价值远远不止本文所介绍的那样,大家还可以根据实际情况对写入的代码进一步优化,以达到更强大的作用。

相关推荐