2017-2018-2 20155225《网络对抗技术》实验二+ 后门进阶

2017-2018-2 20155225《网络对抗技术》实验二+ 后门进阶

恶意代码绑定技术研究

EXE文件捆绑机——ExeBinder

EXE捆绑机能够将两个可执行文件(EXE文件)捆绑成一个文件,运行捆绑后的文件等于同时运行了两个文件。它会自动更改图标,使捆绑后的文件和捆绑前的文件图标同样,看不出变化,而且能够自动删除运行时导出的临时文件。html

在使用过程当中,最好将第一个可执行文件选为正常文件,第二个可执行文件选为木马文件,这样捆绑后的文件图标会与正常的可执行文件图标相同。web

我尝试在网上下了两个ExeBinder都不能用,再尝试其余方法吧。apache

自解压捆绑木马

利用好压软件提供的自解压功能,实现捆绑木马。windows

  1. 选中须要捆绑的两个文件,选择“添加到压缩文件”

image

  1. 设置压缩参数,选择压缩格式为7z,并选择“建立自解压格式”

image

3.点击“自解压选项”按钮,设置安静模式为所有隐藏网络

image

  1. 最后我将KMS8_V3.1.exe和met.exe压缩获得了一个自解压压缩文件,由于被我命名为everything,因此图标也是everything的图标,但注意观察会发现和正常的Everything软件相比,文件多了66KB。如图:

image

使用“北斗程序(Nspack)”压缩

  1. 下载Nspack
  2. 在配置中,选择“处理共享节”和“Windows DLL加载器”等参数,以下图所示:

image

  1. 切换回文件压缩选项,从打开按钮选择须要压缩的木马文件,点击压缩按钮,压缩很快完成,能够看到,Nspack的压缩比很是高有65%。

image

图片捆绑后门工具——FakeImageExploiter

FakeImageExploiter的原版描述是英文的,这里我本身翻译并理解了一下:tcp

简单地说,把图片和payload一块儿生成一个新的payload(代理程序),一旦执行这个假装的新payload,就会触发去下载存储在Apache2下的两个原文件(即原始图片和原始payload)并执行。工具

同时,也会改变代理程序的图标来和一个文件图片匹配。而后用哄骗的方式(隐藏已知文件类型的扩展)来隐藏代理程序拓展。测试

全部的payload都会从Apache2上被下载,而且执行到目标内存中,这个惟一的须要将payload写入磁盘的拓展是一个exe二进制文件。spa

FakeImageExploiter将全部文件存储在apache2 webroot下,压缩代理程序,启动Apache和metasploit services(handler),而且提供一个URL发送到主机。翻译

同时它也将没有压缩的代理程序存入output文件夹下,以便咱们但愿用其余传递方式来传递。

最重要的一点!!!(找了很久,就是user提供的payload从哪里放进去)Ag.jp.EXE要求输入的文件在APACHE2(本地LAN HACK)中。

首先是配置文件,选择

PAYLOAD_EXETNSION=bat(设置payload格式为bat)

BYPASS_RH=NO(手动更改最终生成的图标)

AUTO_PAYLOAD_BUILD=YES (自动生成Payload)

AGENT_HANLER_PORT=4444(监听端口)

而后sudo ./ FakeImageExploiter.sh启动FakeImageExploiter

image

出现问题,Wine system测试到wine系统是XP,而FakeImageExploiter须要win7.我尝试从新安装wine,但仍是失败了,老师说不要过于纠结环境问题,主要是弄懂配置过程,因此直接作后面的步骤。

环境出了点小问题,但仍是启动了,能够看到picture是jpg格式,payload是bat格式

image

这时候FakeImageExploiter会自动生成payload,我选择payload类型为windows/meterpreter/reverse_tcp。

image

而后会让你选择绑定payload的图片,必定是jpg格式的。

image

而后为最终生成的后门重命名。

image

最终生成的文件呢,仍是由于wine的问题,没有进行压缩,在output文件夹下,仍是Apache2的webroot下都是payload.bat,图片和cleaner.rc

image

同时自动开启了监听。

image

虽然payload和图片最终没有绑定在一块儿,可是payload.bat仍是能够用的,成功回连:

image

相关文章
相关标签/搜索