2017-2018-2 20155225《網絡對抗技術》實驗二+ 後門進階

2017-2018-2 20155225《網絡對抗技術》實驗二+ 後門進階

惡意代碼綁定技術研究

EXE文件捆綁機——ExeBinder

EXE捆綁機能夠將兩個可執行文件(EXE文件)捆綁成一個文件,運行捆綁後的文件等於同時運行了兩個文件。它會自動更改圖標,使捆綁後的文件和捆綁前的文件圖標同樣,看不出變化,而且能夠自動刪除運行時導出的臨時文件。html

在使用過程當中,最好將第一個可執行文件選爲正常文件,第二個可執行文件選爲木馬文件,這樣捆綁後的文件圖標會與正常的可執行文件圖標相同。web

我嘗試在網上下了兩個ExeBinder都不能用,再嘗試其餘方法吧。apache

自解壓捆綁木馬

利用好壓軟件提供的自解壓功能,實現捆綁木馬。windows

  1. 選中須要捆綁的兩個文件,選擇「添加到壓縮文件」

image

  1. 設置壓縮參數,選擇壓縮格式爲7z,並選擇「建立自解壓格式」

image

3.點擊「自解壓選項」按鈕,設置安靜模式爲所有隱藏網絡

image

  1. 最後我將KMS8_V3.1.exe和met.exe壓縮獲得了一個自解壓壓縮文件,由於被我命名爲everything,因此圖標也是everything的圖標,但注意觀察會發現和正常的Everything軟件相比,文件多了66KB。如圖:

image

使用「北斗程序(Nspack)」壓縮

  1. 下載Nspack
  2. 在配置中,選擇「處理共享節」和「Windows DLL加載器」等參數,以下圖所示:

image

  1. 切換回文件壓縮選項,從打開按鈕選擇須要壓縮的木馬文件,點擊壓縮按鈕,壓縮很快完成,能夠看到,Nspack的壓縮比很是高有65%。

image

圖片捆綁後門工具——FakeImageExploiter

FakeImageExploiter的原版描述是英文的,這裏我本身翻譯並理解了一下:tcp

簡單地說,把圖片和payload一塊兒生成一個新的payload(代理程序),一旦執行這個假裝的新payload,就會觸發去下載存儲在Apache2下的兩個原文件(即原始圖片和原始payload)並執行。工具

同時,也會改變代理程序的圖標來和一個文件圖片匹配。而後用哄騙的方式(隱藏已知文件類型的擴展)來隱藏代理程序拓展。測試

全部的payload都會從Apache2上被下載,而且執行到目標內存中,這個惟一的須要將payload寫入磁盤的拓展是一個exe二進制文件。spa

FakeImageExploiter將全部文件存儲在apache2 webroot下,壓縮代理程序,啓動Apache和metasploit services(handler),而且提供一個URL發送到主機。翻譯

同時它也將沒有壓縮的代理程序存入output文件夾下,以便咱們但願用其餘傳遞方式來傳遞。

最重要的一點!!!(找了很久,就是user提供的payload從哪裏放進去)Ag.jp.EXE要求輸入的文件在APACHE2(本地LAN HACK)中。

首先是配置文件,選擇

PAYLOAD_EXETNSION=bat(設置payload格式爲bat)

BYPASS_RH=NO(手動更改最終生成的圖標)

AUTO_PAYLOAD_BUILD=YES (自動生成Payload)

AGENT_HANLER_PORT=4444(監聽端口)

而後sudo ./ FakeImageExploiter.sh啓動FakeImageExploiter

image

出現問題,Wine system測試到wine系統是XP,而FakeImageExploiter須要win7.我嘗試從新安裝wine,但仍是失敗了,老師說不要過於糾結環境問題,主要是弄懂配置過程,因此直接作後面的步驟。

環境出了點小問題,但仍是啓動了,能夠看到picture是jpg格式,payload是bat格式

image

這時候FakeImageExploiter會自動生成payload,我選擇payload類型爲windows/meterpreter/reverse_tcp。

image

而後會讓你選擇綁定payload的圖片,必定是jpg格式的。

image

而後爲最終生成的後門重命名。

image

最終生成的文件呢,仍是由於wine的問題,沒有進行壓縮,在output文件夾下,仍是Apache2的webroot下都是payload.bat,圖片和cleaner.rc

image

同時自動開啓了監聽。

image

雖然payload和圖片最終沒有綁定在一塊兒,可是payload.bat仍是能夠用的,成功回連:

image

相關文章
相關標籤/搜索