三、化整为零，分体植入法

怎么办呢？可以换一个体积较小的木马服务端文件，或者更换宿主文件。不过我选的这个木马感觉比较好用，而且不易被查杀，同时Explorer.exe又是一个最佳的木马后门藏身之所，每次系统启动都必须运行这个进程，从而保障了木马能可靠地被执行，因此我打算使用RobinPE的另一种木马植入方法。

刚才使用的“整体植入”，是将木马文件全部植入一个EXE文件之中；而分体植入则是将一个文件拆解植入到多个文件里，这样就保证了木马文件有足够的存放空间。

1.设置多个宿主文件

点击界面右下角的“分体植入”按钮，切换到分体植入界面中（如图3）。在“分解植入”项中点击“添加”按钮，添加多个宿主文件到中间的列表框中。添加完毕后，点击“计算空间”即可计算所有宿主文件总的剩余空间，对比木马文件大小以判断是否能够植入。可以选择添加8个宿主文件，要求所有宿主文件都位于同一目录中，并且在植入后不能将宿主文件随意改名。在这里选择了与Explorer.EXE位于同一目录下的“hh.exe”、“winhelp.exe”等几个文件。

图3

小提示：为了不破坏本地的程序文件，可将这几个宿主文件复制备份到另一文件夹下进行。

2.设置启动文件

在宿主文件列表框中，选择其中一个宿主文件“Explorer.exe”，然后点击右边的“设为启动”，此宿主文件将被作为主启动文件。木马文件还原代码和数据表都将植入到这个文件中，以后只要运行宿主文件，该文件就会自动将分解在各宿主文件中的木马组合还原成完整的程序，并自动执行。

设置完毕后，点击“开始植入”按钮，即可开始将木马服务端程序“Server.exe”文件分解植入到“Explorer.exe”等几个文件中了。

3.修改文件时间

由于植入木马后，启动文件和宿主文件的文件创建和修改日期会发生变化，因此我们需要将文件时间修改恢复原样。在RobinPE中自带了一个叫作“时空机器”的工具，可以修改文件的时间和日期。在文件框中浏览输入文件路径和文件名，然后在界面下方设置程序文件的创建时间和修改时间，最后点击“确认修改”即可（如图4）。

图4

上一页  [1] [2] [3] 下一页