木馬入侵急先鋒

牧馬人

吃過晚飯以后，朱堅強和平常一樣，打開電腦上網閑逛。當然，還少不了打開木馬的客戶端程序，看看今天又有多少“肉雞”回到了“雞窩”。其實，朱堅強并不是大家所說的黑客，他僅僅是對黑客技術有一點興趣而已。平時，他最大的愛好就是遠程偷窺坐在被控制電腦面前的MM，并且獲取其QQ號，與之進行一番神聊。

老白指點迷津

最近朱堅強發現，回到“雞窩”里的“肉雞”是越來越少，雖然他每天都很勤奮地捕捉新的“肉雞”，但還是有一種“入不敷出”的感覺。于是，他去找自己的同學老白訴苦。老白聽后，同情地對他說：“堅強呀，盡管現在木馬的功能都很強，但是面對各種各樣的安全軟件，還是有些力不從心啊！”朱堅強不解地問：“可我的木馬程序都是經過免殺處理的呀？”老白一邊搖頭一邊回道：“當前殺毒軟件采用的技術可謂多種多樣，除了常見的特征碼殺毒以外，還有什么啟發式、主動防御等，這些綜合起來實在讓人防不勝防啊！”朱堅強聽了，有點著急：“那怎么辦，就沒有辦法了嗎？”老白摸著自己寸草不生的頭說：“誰說沒有辦法？我們且不說‘機器狗這種可以破壞硬件還原卡的病毒，就連以前的‘熊貓燒香和‘AV終結者等病毒也可以把殺毒軟件折騰得夠嗆。告訴你啊，現在我們還可以利用工具軟件，讓它搶在木馬入侵前就破壞掉用戶系統中的殺毒軟件，這樣木馬入侵后就能順利地運行了。你說，這方法怎么樣？走，到你那兒去，我教你。”

《煽動者》顯威力

坐在朱堅強的電腦前，只見老白插入了隨身的閃盤，從中打開一款叫《煽動者》的小軟件（有技術研究興趣的讀者，可以在網絡上搜索下載）。這款軟件本來是德文的，后來有網友簡單地漢化了一下。首先，在主界面上的“煽動者名稱”和“另存為”選項中，設置生成文件的名稱和存放的路徑（如圖1）。這里老白將“煽動者名稱”設置為pcd（小編插話：pcd字樣用在這里，總覺得怪怪的），存放路徑保持默認不變。然后，勾選“殺行動”中的所有選項，通過它們就可以關閉系統的安全設置和干掉常見殺毒軟件的進程。由于這是一款國外軟件，所以它默認針對的殺毒軟件也全是國外的，不過我們可以進行編輯。

在“額外的命令”中可以輸入各種命令：輸入“ping 127.0.0.1”可以延長命令的執行，為破壞殺毒軟件提供充足的時間；輸入“tskill Ravmond.exe”命令就可以結束《瑞星殺毒軟件》的監控進程。在“特別功能”中點選“主動傳播”，這樣生成的文件就具備了主動傳播的特性。最后，在“運行”中選擇“標準”選項，設定需要運行的木馬（當然還可以設置一個用于迷惑用戶的偽裝文件，比如圖片文件、音頻文件等）。設置完成以后，點擊“生成”按鈕即可。

通殺國產殺毒軟件

文件創建成功后，發現生成的竟然是一個pcd.bat批處理文件。這樣也好，便于我們修改。用記事本打開這個批處理文件可以看到，它主要是通過結束殺毒軟件的服務或進程來保護木馬入侵的。雖然在前面添加的是一句結束《瑞星殺毒軟件》進程的命令，但我們可以在代碼中，針對其他的國產殺毒軟件進行新的命令添加，譬如“tskill KAVStart.exe”就可以結束《金山毒霸》的進程。同時，也可以添加停止啟動服務的代碼，比如“net stop KWatchSvc”就可以停止《金山毒霸》的實時監控服務。當然，最好再多復制幾行“ping 127.0.0.1”代碼，從而保證各種命令有充裕的執行時間（如圖2）。

批處理文件在運行的時候，會調用系統的命令提示符窗口來執行命令，而這些彈出的窗口必然會引起別人的懷疑。加用腳本文件，就不會有這個問題出現了。用記事本新建一個空白文本，輸入下面的內容，然后“另存為”kill.vbs。Set ws = CreateObject(“Wscript.Shell”)ws.run “cmd /c pcd.bat”,vbhide

現在用鼠標將pcd.bat批處理文件、kill.vbs腳本文件、木馬文件和偽裝文件全部選中，點擊鼠標右鍵菜單中的“添加到壓縮文件.rar”命令，生成一個RAR格式的壓縮文件。下面再將它轉換成EXE自解壓文件。用WinRAR打開這個壓縮文件，依次點擊工具欄上的“自解壓格式”→“高級自解壓選項”→“常規”標簽，在“解壓路徑”中填入自解壓后的文件存放目錄（例如：%systemroot%，表示解壓到系統目錄中），在“解壓后運行”中輸入腳本文件kill.vbs（如圖3）。

在最后，老白運行了一款叫《WinRAR自解壓完美免殺補丁》的小軟件。點擊其“應用”按鈕選擇剛剛創建的自解壓文件，它就會自動為自解壓文件添加免殺功能（如圖4）。OK，大功告成！老白對朱堅強說道：“好了！你看，當這個具有免殺功能的自解壓文件在用戶電腦上運行后，其中的腳本文件就會調用批處理文件，而批處理文件中的代碼就會依次執行，從而干掉殺毒軟件的進程和終止殺毒軟件的服務。當殺毒軟件都被處理得差不多時，木馬才開始在系統后臺運行。這樣沒有了殺毒軟件的干擾，你想干啥就干啥！”