如何确定软件更新程序包用了IExpress?详细讲解捆绑木马的整个过程
IExpress是一款用于修改msi安装包内的cab文件兼容性最好,用其它的cab工具打包文件成cab,然后替换到msi里面的cab文件,经常性出错,这个就没这方面问题。
由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。
到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边,近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。
原理
IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包,这些自解压包能够自动运行程序包中包含的EXE程序。IExpress技术是Microsoft使用的一项技术,用于为某些Microsoft Internet Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包。
如何确定某个软件更新程序包是否使用了IExpress呢?方法如下:
1.右键单击该程序包,然后单击“属性”。
2.在“常规”选项卡中,查看“描述”。使用了IExpress技术的软件更新程序包中会包含“Win32 Cabinet Self-Extractor”字样。
实际操作
在这一部分,笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。
第一步
在“运行”对话框中输入IExpress就可启动程序(图1)。
在开始的时候会有两个选项供你选择,一个是创建新的自解压文件(Create new Self Extraction Directive file),另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项,然后点击“下一步”按钮。
第二步
接下来选择制作木马自解压包的三种打包方式(图2),它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。
因为我们要制作的是木马解压包,所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。
第三步
在“确认提示”(Confirmation prompt)这一环节,软件会询问在木马程序解包前是否提示用户进行确认,由于我们是在制作木马程序的解压包,当然越隐蔽越好,选择第一项“不提示”(No prompt),这么做的目的是让中招人毫无防备。点击“下一步”按钮,在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者,选择“显示用户允许协议”(Display a license),点击“Browse”选择一份编辑好的TXT文档,此文档可以用微软公司的名义来编辑,设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。
第四步
现在,我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如,你制作的协议和IE补丁包相关,那么你就可将木马和一个正常的IE补丁包添加进来。
随后进入安装程序选择窗口,指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如,在Install Program内设置正常的IE补丁包先运行,此时木马并未运行,在中招者看来的确是一个IE补丁包。在post install command内设置木马程序,这样在IE补丁包安装完毕时,木马程序将会在后台执行,我们的目的也就达到了。
第五步
接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的,所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置,由于我们做的是木马捆绑安装程序,当然应该选择“No message”。
第六步
上述设置完成后,接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”,以便隐藏解压缩过程,有助于隐藏某些木马程序启动时弹出的命令提示框。最后,设置在软件安装完成后是否重新启动(Configure reboot),可以根据实际需要来选择。如果你所用的木马是“即插即用”的,那么就选择“No reboot”;如果所采用的木马用于开启终端服务,那么可选择“Always reboot”,同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。
在保存刚才所做的设置后点击“下一步”按钮,即可开始制作木马自解压程序。
整个制作过程是在DOS下进行的,在完成度达到100%后会弹出提示窗口,点击“完成”,木马程序与合法程序的捆绑工作就完成了(格式为EXE),直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。
现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然,你也可以把它作为IE的重要补丁发送给别人。
不用第三方工具,无需过多的加壳伪装,让“Windows”来为我们服务,为我们捆绑木马,岂不快哉。
防范措施
可以先检查可疑的程序包是否采用了IExpress技术(“原理”部分已介绍)。如果采用了IExpress技术,那么你就得留心了,此时可以进入命令提示符下使用“IExpress /c”命令来解压缩文件(不进行安装)以检查程序包中是否有木马,同时还可加上参数“/t:path”指定解压路径。
编后:
普通用户应该提高警惕了,很多木马制作者了解到用户对漏洞的恐惧,利用用户急着打最新补丁的心理借机入侵。在看似合法的补丁程序中,极有可能隐藏着木马程序。所以,在此提醒大家,千万不要在操作系统和软件的非官方站点下载补丁程序包,因为这些程序包很有可能是被捆绑了恶意程序的虚假程序包。
网站提权有哪些步骤?网站提权有哪些方法?
一:检测一下网站的服务器是否开了 3389 远程终端二:检测一下服务是否用了serv-u (还有是什么版本的)方法 一:复制一个网站 用 3389 登陆器连接一下 (是否成功)能连接了,拿下服务器的机率,提高 3
详情2018-02-18 13:24:01责编:llp 来源:驱动管家防御session fixation攻击的代码是什么?
最近笔者在网上看到一个新文章《JSESSIONID Regeneration in Struts 2》,讲的是一段代码,在STRUTS 2框架中,防御Session Fixation攻击。笔者比较老土,看不懂英文,还好能看懂代码,发现这是一种平时开发
详情2018-02-07 18:54:09责编:llp 来源:驱动管家qq号被盗了怎么办?qq号被盗怎么找回?
QQ被盗在互联网上已经非常常见了,而且一直没有停过,保护好自己的QQ避免被盗,被人用来诈骗亲人朋友,一些保护措施要做好 不要下载一些黑客软件,很多都有后门,不在陌生的电脑登录自己的qq。方法1、QQ号被盗了
详情2018-01-16 14:55:53责编:llp 来源:驱动管家cfi是什么?详解ha cfi基本思路
Rop是借鉴淘宝开发平台实现的全功能Rest Web Service 开源框架,提供了请求 响应序列化、数据检验、会话管理、安全管理等高级主题的东西。前言随着漏洞缓解技术的不断发展,常用的一些漏洞利用手段如ROP变得越
详情2018-02-12 10:18:51责编:llp 来源:驱动管家入侵网站如何更好隐蔽自己?这里有隐蔽技巧
前两期中的专栏中,针对细节入侵这一专题,我分别写了我在内网和注入中注意到的一些细节。其实入侵过程中,有时候难免会与管理员面对面,如何更好的隐蔽自己也是很重要的,一旦不注意,入侵工作往往前功尽弃。这
详情2018-03-07 10:34:40责编:llp 来源:驱动管家arp是什么?arp双向欺骗和单向欺骗的原理和区别
ARP(地址解析协议)是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用,其主要用作将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDI IP网络中使用。本文将为大家详细剖析ARP欺
详情2018-01-23 09:13:47责编:llp 来源:驱动管家反arp攻击:局域网怎么隔离感染arp病毒的电脑?
局域网如何隔离感染ARP病毒的电脑呢?以下就是具体的实现方法。方法 步骤局域网电脑是否存在ARP攻击的查看方法:点击“开始”-“程序”-“附件”-“运行”项来打开“运行“窗口,或者按”Windows+R“来打开,输入
详情2018-01-23 10:24:04责编:llp 来源:驱动管家什么是cross iframe?一些cross iframe引申出的安全隐患
我思考了很久才把这里面的错综复杂的关系整清楚,我想很多人看我下面的paper会睡着,或者干脆“一目百行”的跳过去,但如果你真的想弄懂,请调试我的 每一个poc,会非常有助于理解(虽然你还是可能会晕)。请尊重
详情2018-03-03 16:04:31责编:llp 来源:驱动管家用什么方法可以消灭qq广告?彻底消灭qq广告的方法
呆在家中上网聊天实在不是一件惬意的事:每一天打开QQ,迎接我的都是一串一串的广告……国庆黄金周,连广告也不放过!:(无奈,打开Visual C++,开始了我的“反骚扰”之路。首先我面对的问题是:QQ一共有几种广
详情2018-02-11 11:28:26责编:llp 来源:驱动管家tom网的跨站测试 163网的跨站测试
最近朋友们老是弄些跨站,一会看这个站被跨站 那个站又被跨站,我看也无聊 顺便弄一些玩玩,到百度上随便搜索了几个站的地址结果一 测试全都可以弄,这不得不让人很担心啊。以下是几个站的截图和地址TOM网http: s
详情2018-02-24 08:59:54责编:llp 来源:驱动管家
- 酷派8017-T00如何进行线刷机?酷派8017-T00 线刷教程
- linux下安装网卡驱动的方法步骤
- 在360云盘上怎么搜索到自己想要的资源
- 在win8电脑中怎么快速设置语言栏的位置
- 一招教你快速调节电脑屏幕的分辨率
- 计算机的并口硬盘和串口硬盘可以一起使用吗?
- 美国研究人员希望用一种类似病毒的粒子来对抗癌症
- 微软申请Mixplay商标推测可能仅作为Mixer的一部分
- xp系统电脑使用光纤拨号出现故障是什么原因?怎么解决
- U盘能不能转换成NTFS格式?fat32转NTFS的方法
- 小辣椒9什么时候出?小辣椒9的价格是多少?
- 360手机n4s骁龙版性能如何?性价比高吗?
- 电脑开机以后小键盘灯不亮是什么原因?该怎么办?
- 远程连接时提示“远程计算机已结束连接” 怎么解决
- 通过特殊字符建立命令行界面下不显示的隐藏账号
- Windows7的反盗版技术遏制盗版拷贝的传播
- Mac电脑不会安装显卡驱动 教你安装显卡驱动且提升设备的性能
- Linux系统找不到raid?Linux系统加载raid驱动的方法
- 大势至禁用USB软件在屏蔽USB端口后如何允许使用U盾、网银加密狗、网银U盘
- 迅捷pdf转换成word转换器的步骤是什么