以下的文章主要向大家講述的是用IExpress制作免殺木馬攻擊的案例演示，眾所周知文件捆綁攻擊主要是在正常的Exe中捆綁一個木馬程序，當(dāng)用戶打開被捆綁的木馬程序之后，會同時執(zhí)行正常程序和木馬程序，由于木馬程序執(zhí)行時無窗口等。

因此隱蔽性較高，文件捆綁需要解決的主要技術(shù)就是防范殺毒軟件對捆綁程序以及木馬程序的查殺。

通過本案例可以學(xué)到：

(1)了解文件捆綁的相關(guān)知識

(2)利用“用IExpress”捆綁木馬文件

比特網(wǎng)專家：文件捆綁攻擊主要是在正常的Exe中捆綁一個木馬程序，當(dāng)用戶打開被捆綁的木馬程序后，會同時執(zhí)行正常程序和木馬程序，由于木馬程序執(zhí)行時無窗口等，因此隱蔽性較高，文件捆綁需要解決的主要技術(shù)就是防范殺毒軟件對捆綁程序以及木馬程序的查殺。本案例以IEexpress安裝制作程序為例來制作一個帶木馬程序的應(yīng)用程序。

1.準(zhǔn)備原材料

利用Iexpress捆綁木馬文件來進(jìn)行攻擊，首先需要準(zhǔn)備有吸引力的文件，被攻擊者一看到這些文件，就毫不猶疑的去執(zhí)行。本案例僅僅是為了說明捆綁文件攻擊的思路，因此未對材料進(jìn)行精心選擇，隨機(jī)準(zhǔn)備一個軟件。

2.運行Iexpress，選擇自壓縮指導(dǎo)文件(SED)

本案例使用的是漢化版Iexpress，解壓縮Iexpress后，直接運行“IExpress”即可啟動IExpress程序。在開始的時候會有兩個選項供選擇，一個是“創(chuàng)建新的自解壓縮指導(dǎo)文件”，另一個是“打開現(xiàn)有的自壓縮指導(dǎo)文件”，如圖1所示。在本例中選擇第一項，然后點擊“下一步”按鈕。

圖1選擇自壓縮指導(dǎo)文件

3.選擇軟件包的最終目的

在選擇軟件包的最終用途中有“將文件解開并運行安裝命令”、“僅將文件解開”和“僅創(chuàng)建壓縮文件(ActiveX安裝)”三種選擇。在本例中所制作的是木馬解壓包，所以應(yīng)該選擇第一項，如圖2所示。

圖2 選擇軟件包的最終目的

4.輸入軟件包標(biāo)題

在軟件包標(biāo)題中輸入“最牛逼的系統(tǒng)密碼獲取軟件”后，單擊“下一步”，在“確認(rèn)提示”中，軟件會詢問在木馬程序解包前是否提示用戶進(jìn)行確認(rèn)，由于制作的是木馬程序的解壓包，當(dāng)然越隱蔽越好，選擇第一項“不提示”，這么做的目的是讓中招人毫無防備。單擊“下一步”按鈕，在接下來的添加“用戶允許協(xié)議”中添加一個偽裝的用戶協(xié)議迷惑中招者，選擇“顯示用戶允許協(xié)議”，單擊“瀏覽”選擇一份編輯好的TXT文檔，，設(shè)置完畢后點擊“下一步”。

5.選擇打包文件

在打包文件中，單擊擊該窗口中的“添加”按鈕添加木馬和將要與木馬程序捆綁在一起的合法程序。根據(jù)剛才編輯的協(xié)議文件的內(nèi)容添加合法程序，在本案例中選擇的合法程序是“LSASecretsView”，木馬程序是由“spyone漢化版”配置的木馬服務(wù)端，添加完畢后如圖3所示。

圖3 添加打包文件

6.選擇安裝啟動程序

指定安裝程序和安裝結(jié)束后運行的程序。在安裝程序中選擇“LSASecretsView.exe”，該程序為主程序;在后安裝命令中選擇“svcr.exe”，如圖4所示，該程序為木馬程序。主程序(LSASecretsView.exe)執(zhí)行后，再執(zhí)行木馬程序(svcr.exe)，這樣也就達(dá)到了木馬捆綁的目的。

圖4 選擇安裝啟動程序和后安裝命令程序

7.選擇軟件在安裝過程中的顯示窗口

由于木馬程序是和合法程序捆綁在一起的，所以選擇“默認(rèn)”即可，然后單擊“下一步”，設(shè)置程序安裝結(jié)束是否顯示消息，由于在安裝程序中捆綁了木馬程序，因此選擇“不顯示消息”。

8.設(shè)置自解壓程序的保存位置和名稱

單擊“瀏覽”按鈕設(shè)置自解壓程序制作完成后保存的文件名稱和文件路徑，然后選擇“不向用戶顯示文件解壓縮進(jìn)度”，以便隱藏解壓縮過程，有助于隱藏某些木馬程序啟動時彈出的命令提示框，如圖5所示。

圖5設(shè)置自解壓程序的保存位置和名稱

9.設(shè)置啟動方式

設(shè)置在軟件安裝完成后是否重新啟動，可以根據(jù)實際需要來選擇。如果你所用的木馬是“即插即用”的，那么就選擇“不重新啟動”;如果所采用的木馬用于開啟終端服務(wù)，那么可選擇“總是重新啟動”，同時選擇“重新啟動前不提示用戶”，如圖6設(shè)置在軟件安裝完成后是否重新啟動所示。

圖6設(shè)置在軟件安裝完成后是否重新啟動

10.制作自解壓程序并測試木馬程序

在保存自解壓縮向?qū)е袉螕?ldquo;下一步”按鈕，即可開始制作木馬自解壓程序。整個制作過程是在DOS下進(jìn)行的，在完成度達(dá)到100%后會彈出提示窗口，點擊“完成”按鈕，用IExpress制作免殺木馬攻擊也就完成了，生成的木馬跟正常的安裝程序完全一樣，如圖7所示。

圖7制作成功的自解壓木馬程序

開啟“spyone漢化版”客戶端程序并監(jiān)聽“888”端口，然后雙擊運行“最牛逼的系統(tǒng)密碼獲取軟件.exe”，一會兒本機(jī)就上線了，如圖8所示。

圖8 執(zhí)行程序后木馬上線

說明

很多流氓軟件都是采用這種方式來制作，制作完畢的軟件跟正常的安裝軟件什么區(qū)別，而且殺毒軟件不會查殺，在安裝這種捆綁有木馬程序或者其它的程序時，首先執(zhí)行指定的主程序，然后執(zhí)行木馬程序或者其它程序。

小結(jié)

本案例的要點是配置一個好的木馬和選擇一些好的原材料，制作過程非常簡單，只需要簡單的幾步操作即可完成。使用IExpress捆綁木馬程序制作完畢后，需要在本機(jī)或者虛擬機(jī)上進(jìn)行測試，如果能夠成功，則可以掛在互聯(lián)網(wǎng)上任其下載，一旦有用戶下載并執(zhí)行，肉雞也就會源源不斷自動送上門。

以上的相關(guān)內(nèi)容就是對用IExpress制作免殺木馬攻擊案例的介紹，望你能有所收獲。