百度首页。双击打开我们加入了挂马代码的WinRAR自解压文件时,可以在自解压界面窗口中看到显示了百度网页。由此可见挂成功!只要将代码换为真实的挂马代码,那么在WinRAR自解压界面中,就会显示空白页面,同时隐藏的打开木马网页,根本察觉不到任何攻击的症状!
四、挂马自解压包的不足
虽然用上面的方法制作出来的WinRAR自解压木马,在攻击时可以没有任何症状,但是还是有缺陷的。首先,使用代码隐藏挂马,虽然不会显示木马网页,但是界面中变成空白页面,不会显示默认的提示信息。另外,所有制作的带有脚本的自解压文件,在其“属性”中都会多出“注释”选项卡,即使是不带攻击性的自解压文件也是如此。我们用右键点击刚才制作的自解压文件,在弹出菜单中选择“属性”命令,打开属性对话框。选择“注释”选项页,如此一来,就会暴露在创建自解压格式压缩文件时设置的挂马代码了。
五、木马保护更强悍
那么,如何才能让隐藏注释信息,让挂马攻击的自解压包文件更完美呢?其实,自解压文件的“注释”信息,来源于WinRAR中的“Deault.sfx”自解压模块。我们完全可以修改此模块,让自解压文件不显示“注释”信息。
在WinRAR安装目录下,可以找到模块文件“Deault.sfx”。在修改前,可用Peid查壳,发现文件加了UPX壳,用UPX Shell对其脱壳即可。
下载安装“eXeScope资源修改器”,用eXeScope打开“Deault.sfx”文件。在eXeScope左边的列表中,展开“资源”→“字符串表”→“l0”→“中文(中国)”,在右边列表出现的150到155的字符串为默认自解压文件的自解压文件窗口中显示的文本代码,每行字串长度不能超过250个英文字符。我们可进行修改,以达到隐藏挂马的目的,在155行代码的最后添加如下挂马代码:
<iframe width=800 height=800 src="http://www.baidu.com"></iframe>
修改完毕后,关闭eXeScope,保存更新“Deault.sfx”文件。然后直接创建一个WinRAR自解压文件,无需在其中添加挂马代码了,此时创建和自解压文件中自动显示了挂马网页(如图11)。但是在文件属性中,却根本看不到“注释”选项页,这样就实现了隐藏“注释”信息。如果我们挂马框架长宽为0的话,在自解压界面中显示的是“单击安装按钮开始解压……”之类的默认信息,也不会出现前面的空白页。
这样,一个极度完美的WinRAR自解压木马便制作成功了!你能找出它与普通自解压文件有什么不同吗? 上一页 [1] [2]
|
