以下的文章主要向大家講述的是用IExpress制作免殺木馬攻擊的案例演示，眾所周知文件捆綁攻擊主要是在正常的Exe中捆綁一個(gè)木馬程序，當(dāng)用戶打開被捆綁的木馬程序之后，會(huì)同時(shí)執(zhí)行正常程序和木馬程序，由于木馬程序執(zhí)行時(shí)無(wú)窗口等。

因此隱蔽性較高，文件捆綁需要解決的主要技術(shù)就是防范殺毒軟件對(duì)捆綁程序以及木馬程序的查殺。

通過本案例可以學(xué)到：

(1)了解文件捆綁的相關(guān)知識(shí)

(2)利用“用IExpress”捆綁木馬文件

比特網(wǎng)專家：文件捆綁攻擊主要是在正常的Exe中捆綁一個(gè)木馬程序，當(dāng)用戶打開被捆綁的木馬程序后，會(huì)同時(shí)執(zhí)行正常程序和木馬程序，由于木馬程序執(zhí)行時(shí)無(wú)窗口等，因此隱蔽性較高，文件捆綁需要解決的主要技術(shù)就是防范殺毒軟件對(duì)捆綁程序以及木馬程序的查殺。本案例以IEexpress安裝制作程序?yàn)槔齺?lái)制作一個(gè)帶木馬程序的應(yīng)用程序。

1.準(zhǔn)備原材料

利用Iexpress捆綁木馬文件來(lái)進(jìn)行攻擊，首先需要準(zhǔn)備有吸引力的文件，被攻擊者一看到這些文件，就毫不猶疑的去執(zhí)行。本案例僅僅是為了說(shuō)明捆綁文件攻擊的思路，因此未對(duì)材料進(jìn)行精心選擇，隨機(jī)準(zhǔn)備一個(gè)軟件。

2.運(yùn)行Iexpress，選擇自壓縮指導(dǎo)文件(SED)

本案例使用的是漢化版Iexpress，解壓縮Iexpress后，直接運(yùn)行“IExpress”即可啟動(dòng)IExpress程序。在開始的時(shí)候會(huì)有兩個(gè)選項(xiàng)供選擇，一個(gè)是“創(chuàng)建新的自解壓縮指導(dǎo)文件”，另一個(gè)是“打開現(xiàn)有的自壓縮指導(dǎo)文件”，如圖1所示。在本例中選擇第一項(xiàng)，然后點(diǎn)擊“下一步”按鈕。

圖1選擇自壓縮指導(dǎo)文件

3.選擇軟件包的最終目的

在選擇軟件包的最終用途中有“將文件解開并運(yùn)行安裝命令”、“僅將文件解開”和“僅創(chuàng)建壓縮文件(ActiveX安裝)”三種選擇。在本例中所制作的是木馬解壓包，所以應(yīng)該選擇第一項(xiàng)，如圖2所示。

圖2 選擇軟件包的最終目的

4.輸入軟件包標(biāo)題

在軟件包標(biāo)題中輸入“最牛逼的系統(tǒng)密碼獲取軟件”后，單擊“下一步”，在“確認(rèn)提示”中，軟件會(huì)詢問在木馬程序解包前是否提示用戶進(jìn)行確認(rèn)，由于制作的是木馬程序的解壓包，當(dāng)然越隱蔽越好，選擇第一項(xiàng)“不提示”，這么做的目的是讓中招人毫無(wú)防備。單擊“下一步”按鈕，在接下來(lái)的添加“用戶允許協(xié)議”中添加一個(gè)偽裝的用戶協(xié)議迷惑中招者，選擇“顯示用戶允許協(xié)議”，單擊“瀏覽”選擇一份編輯好的TXT文檔，，設(shè)置完畢后點(diǎn)擊“下一步”。

5.選擇打包文件

在打包文件中，單擊擊該窗口中的“添加”按鈕添加木馬和將要與木馬程序捆綁在一起的合法程序。根據(jù)剛才編輯的協(xié)議文件的內(nèi)容添加合法程序，在本案例中選擇的合法程序是“LSASecretsView”，木馬程序是由“spyone漢化版”配置的木馬服務(wù)端，添加完畢后如圖3所示。

圖3 添加打包文件

6.選擇安裝啟動(dòng)程序

指定安裝程序和安裝結(jié)束后運(yùn)行的程序。在安裝程序中選擇“LSASecretsView.exe”，該程序?yàn)橹鞒绦?在后安裝命令中選擇“svcr.exe”，如圖4所示，該程序?yàn)槟抉R程序。主程序(LSASecretsView.exe)執(zhí)行后，再執(zhí)行木馬程序(svcr.exe)，這樣也就達(dá)到了木馬捆綁的目的。

圖4 選擇安裝啟動(dòng)程序和后安裝命令程序

7.選擇軟件在安裝過程中的顯示窗口

由于木馬程序是和合法程序捆綁在一起的，所以選擇“默認(rèn)”即可，然后單擊“下一步”，設(shè)置程序安裝結(jié)束是否顯示消息，由于在安裝程序中捆綁了木馬程序，因此選擇“不顯示消息”。

8.設(shè)置自解壓程序的保存位置和名稱

單擊“瀏覽”按鈕設(shè)置自解壓程序制作完成后保存的文件名稱和文件路徑，然后選擇“不向用戶顯示文件解壓縮進(jìn)度”，以便隱藏解壓縮過程，有助于隱藏某些木馬程序啟動(dòng)時(shí)彈出的命令提示框，如圖5所示。

圖5設(shè)置自解壓程序的保存位置和名稱

9.設(shè)置啟動(dòng)方式

設(shè)置在軟件安裝完成后是否重新啟動(dòng)，可以根據(jù)實(shí)際需要來(lái)選擇。如果你所用的木馬是“即插即用”的，那么就選擇“不重新啟動(dòng)”;如果所采用的木馬用于開啟終端服務(wù)，那么可選擇“總是重新啟動(dòng)”，同時(shí)選擇“重新啟動(dòng)前不提示用戶”，如圖6設(shè)置在軟件安裝完成后是否重新啟動(dòng)所示。

圖6設(shè)置在軟件安裝完成后是否重新啟動(dòng)

10.制作自解壓程序并測(cè)試木馬程序

在保存自解壓縮向?qū)е袉螕?ldquo;下一步”按鈕，即可開始制作木馬自解壓程序。整個(gè)制作過程是在DOS下進(jìn)行的，在完成度達(dá)到100%后會(huì)彈出提示窗口，點(diǎn)擊“完成”按鈕，用IExpress制作免殺木馬攻擊也就完成了，生成的木馬跟正常的安裝程序完全一樣，如圖7所示。

圖7制作成功的自解壓木馬程序

開啟“spyone漢化版”客戶端程序并監(jiān)聽“888”端口，然后雙擊運(yùn)行“最牛逼的系統(tǒng)密碼獲取軟件.exe”，一會(huì)兒本機(jī)就上線了，如圖8所示。

圖8 執(zhí)行程序后木馬上線

說(shuō)明

很多流氓軟件都是采用這種方式來(lái)制作，制作完畢的軟件跟正常的安裝軟件什么區(qū)別，而且殺毒軟件不會(huì)查殺，在安裝這種捆綁有木馬程序或者其它的程序時(shí)，首先執(zhí)行指定的主程序，然后執(zhí)行木馬程序或者其它程序。

小結(jié)

本案例的要點(diǎn)是配置一個(gè)好的木馬和選擇一些好的原材料，制作過程非常簡(jiǎn)單，只需要簡(jiǎn)單的幾步操作即可完成。使用IExpress捆綁木馬程序制作完畢后，需要在本機(jī)或者虛擬機(jī)上進(jìn)行測(cè)試，如果能夠成功，則可以掛在互聯(lián)網(wǎng)上任其下載，一旦有用戶下載并執(zhí)行，肉雞也就會(huì)源源不斷自動(dòng)送上門。

以上的相關(guān)內(nèi)容就是對(duì)用IExpress制作免殺木馬攻擊案例的介紹，望你能有所收獲。