有没有隐藏性更高一些的木马捆绑工具呢?是否可以在捆绑了木马后让宿主文件体积不发生变化呢?最新的木马后门植入工具RobinPE,可以将后门文件藏匿在任意的EXE程序文件中,以后每次正常启动程序文件时,我们植入的文件就会悄悄的生成并执行,最重要的是植入木马后宿主文件的大小基本不发生变化。下面就以笔者的使用经历为例,向大家介绍一下这个工具的使用吧!
一、准备植入木马
首先是利用系统漏洞,溢出得到了一台主机Local System权限的Shell,然后克隆管理员帐号,清除了杀毒软件之类的文件上传障碍。其具体过程就不再详述了,下面主要是讲述如何将木马植入Explorer.exe进程中,再将其上传到远程主机上执行并进行控制。
首先需要在本地将木马植入Explorer.exe文件中,这里我们使用一个叫作“Fuck Trojan”的木马,并将对服务端程序“Server.exe”加壳处理以躲过杀毒软件的查杀。备份“Explorer.exe”文件,然后运行工具RobinPE。
二、计算空间——木马植入前的关键
使用RobinPE在正常程序中植入木马后,有一个特点就是程序将保护原来的体积大小不发生变化,从而不易被查觉。其原理就是在植入前先执行计算程序文件可利用的空间,将后门木马植入缝隙而不额外增加代码区块,因此文件的大小不会发生变化。在植入程序前,首先需要计算程序可利用空间,根据计算后得到的结果才能确定可否植入。
打开RobinPE后,点击界面右下角处的“整体植入”按钮,在“后门文件”项中点击浏览选择刚才的木马服务端文件“Server.exe”;然后在“整体植入”中浏览选择备份的“Explorer.exe”文件(如图1)。点击“计算空间”按钮,即可开始计算宿主文件“Explorer.exe”中剩余的空间,对比木马文件“Server.exe”的大小,判断是否可以将文件植入宿主文件中。从最后的计算结果中我们可以看到,木马文件共有“177664”字节,而宿主文件中仅剩下了26531个字节空间,因此该木马显得太大,不能植入Explorer.exe文件中(如图2)。
图1
图2
相关文章
EMAIL: