危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982351

如何用惯性思维伪装木马

作为一个好木马,制作免杀,从而逃避杀毒软件的查杀是必不可少的,但是图标是一个图片的样子,后缀却是exe的小马,只要是懂一些电脑常识的人绝对都不会点击的。下面危险漫步就教大家如何伪装自己的小木马:

1,替换文件图标

这个比较简单,制作方法和刚刚说的制作方法是一样的。都是用替换图标的软件替换,与其不同并且更重要的一点是这里替换的图标是文件夹或是RAR的图标。说白了,就是利用你的惯性思维,看你反应快不快了。

2,完全隐藏文件

这个比较麻烦一些,首先要准备一个透明的图片,大家使用制图软件就可趴做出来,我已经给大家准备好了,直接替换就可队。下面我们开始操作,打开图标替换的软件,我这里使用的是ResHacker,当然使用其它的也行。替换完图标后就变成透明的了,但是后面有个文件名,看着有些别扭,下面我们来去掉文件名。在木马的同一目录新建一个批处理,其内容为cmd,然后运行,输入ren你木马的文件名.exe(按住Alt+输入小键盘的255).exe最后按回车就ok了。要是来开启“隐藏已知文件类型的扩展名”的话,还是很具有迷惑性的。但是要开启,那就有点露馅了,好在我们可以利用autorun.inf. rar自解压或者其它的批处理程序采调用它,放在不同的目录,从而加大它的迷惑性。另外,我们也可以给它添加一个隐藏的属性,批处理代码如下:attrib +s +h(按佳Alt+小键赢的255).exe。

3,另类的重命名

接下来要说的这个方法就是本文的重点了,首先介绍一下做法:把你的木马弄成图片的样子后,右键点击该文件-重命名-右键点击文件名-插入Unicode控制字符>选择RLO,输入“prub.86bfd1641f983ffB50e4

8326cab994ca.exe”,如果改的是JPG的图标,那就把pmb改成gpJ.文件名的中间部分可随意更改,但是像这样写一大段是有好处的,我会在下面解释。

这就是文件名长的好处,也就是在平铺模式视图方式下是看不到最前面的“exe.”而是“…”,这样就非常像图片了。第一次看到这个我也是觉得有点别扭,但后来仔细想想就明白了,正常的长文件名都是在最后出现省略号的,话又说回来,能有几个人会有这么快的反应呢。

下面说一下Urucode控制字符中RLO的含义:RLO Startof r曲t-to-lefi override,懂一点英语的朋友就知道,这个是从右往左的重命名文件名了,现在人的书写习惯都是从左往右,但这个却反其道而行之。这就为我们的小马开拓了传播的新途径。

值得注意的是,这个马儿要想传播的话,必须使用压缩程序打包,至于文件的名字可以随意,比如“超高级美女”、“wOw密保”之类的就发挥大家的想象力吧,反正只要是让人想看的图片内容就可以了。你的马儿只要免杀做得好,再用到本文的方法,只要不是传说中的高手就一定会中招的。当然,万事都有两面性,预防的方法也是有的,那就是提高自己的安全意识。