| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛
欢迎加入我们,一同切磋技术
用户名:   
 
密 码:  
共有 480 人关注过本帖
标题:[分享]Windows自带工具IExpress
只看楼主 加入收藏
网络爱好者
Rank: 1
等 级:新手上路
帖 子:17
专家分:0
注 册:2007-11-12
收藏
 问题点数:0 回复次数:2 
[分享]Windows自带工具IExpress

用Windows自带工具打造免检木马

木马传播者最惯用的手段就是将木马程序和合法程序捆绑在一起,欺骗被攻击者。然而,现在杀毒软件对捆绑类软件已显出咄咄逼人的态势,几乎所有的捆绑类软件都会被查杀,大大小小的木马纷纷失效。

  IExpress小档案

  出身:Microsoft

  功能:专用于制作各种 CAB 压缩与自解压缩包的工具。

  由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。

  到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边,近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。

  原理

  IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包,这些自解压包能够自动运行程序包中包含的EXE程序。IExpress技术是Microsoft使用的一项技术,用于为某些Microsoft Internet Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包。

  如何确定某个软件更新程序包是否使用了IExpress呢?方法如下:

  1.右键单击该程序包,然后单击属性

  2.在常规选项卡中,查看描述。使用了IExpress技术的软件更新程序包中会包含Win32 Cabinet Self-Extractor字样。

  实际操作

  在这一部分,笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。

  第一步

  在运行对话框中输入IExpress就可启动程序。

  在开始的时候会有两个选项供你选择,一个是创建新的自解压文件(Create new Self Extraction Directive file),另一个是打开已经保存的自解压模板.sed文件(Open existing Self Extraction Directive file)。我们应该选择第一项,然后点击下一步按钮。

  第二步

  接下来选择制作木马自解压包的三种打包方式,它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。

  因为我们要制作的是木马解压包,所以应该选择第一项。在输入压缩包标题后点击下一步按钮。

  第三步

  在确认提示(Confirmation prompt)这一环节,软件会询问在木马程序解包前是否提示用户进行确认,由于我们是在制作木马程序的解压包,当然越隐蔽越好,选择第一项不提示(No prompt),这么做的目的是让中招人毫无防备。点击下一步按钮,在接下来的添加用户允许协议(License agreement)中添加一个伪装的用户协议迷惑中招者,选择显示用户允许协议(Display a license),点击Browse选择一份编辑好的TXT文档,此文档可以用微软公司的名义来编辑,设置完毕后点击下一步。这一步的目的是迷惑对手并隐藏木马安装的过程。

  第四步

  现在,我们就进入了文件列表窗口(Packaged files)。点击该窗口中的Add按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如,你制作的协议和IE补丁包相关,那么你就可将木马和一个正常的IE补丁包添加进来。

  随后进入安装程序选择窗口,指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如,在Install Program内设置正常的IE补丁包先运行,此时木马并未运行,在中招者看来的确是一个IE补丁包。在post install command内设置木马程序,这样在IE补丁包安装完毕时,木马程序将会在后台执行,我们的目的也就达到了。

  第五步

  接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的,所以选择默认(Default)即可。接下来进行提示语句(Finished message)的显示设置,由于我们做的是木马捆绑安装程序,当然应该选择No message

  第六步

  上述设置完成后,接着设置自解压程序的保存位置和名称。在这里要选择Hide File Extracting Progress Animation from User,以便隐藏解压缩过程,有助于隐藏某些木马程序启动时弹出的命令提示框。最后,设置在软件安装完成后是否重新启动(Configure reboot),可以根据实际需要来选择。如果你所用的木马是即插即用的,那么就选择No reboot;如果所采用的木马用于开启终端服务,那么可选择Always reboot,同时选择重新启动前不提示用户(Do not prompt user before reboot)。

  在保存刚才所做的设置后点击下一步按钮,即可开始制作木马自解压程序。

  整个制作过程是在DOS下进行的,在完成度达到100%后会弹出提示窗口,点击完成,木马程序与合法程序的捆绑工作就完成了(格式为EXE),直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

  现在还等什么?赶快利用木马屠城介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然,你也可以把它作为IE的重要补丁发送给别人。

  不用第三方工具,无需过多的加壳伪装,让Windows来为我们服务,为我们捆绑木马,岂不快哉。

  防范措施

  可以先检查可疑的程序包是否采用了IExpress技术(原理部分已介绍)。如果采用了IExpress技术,那么你就得留心了,此时可以进入命令提示符下使用IExpress /c命令来解压缩文件(不进行安装)以检查程序包中是否有木马,同时还可加上参数/t:path指定解压路径。

  编后:

  普通用户应该提高警惕了,很多木马制作者了解到用户对漏洞的恐惧,利用用户急着打最新补丁的心理借机入侵。在看似合法的补丁程序中,极有可能隐藏着木马程序。所以,在此提醒大家,千万不要在操作系统和软件的非官方站点下载补丁程序包,因为这些程序包很有可能是被捆绑了恶意程序的虚假程序包。

搜索更多相关主题的帖子: IExpress Windows 工具 分享 
2007-11-14 21:19
网络爱好者
Rank: 1
等 级:新手上路
帖 子:17
专家分:0
注 册:2007-11-12
收藏
得分:0 
收藏已久

今天公开与大家分享

2007-11-14 21:27
mycrazy
Rank: 1
等 级:新手上路
帖 子:15
专家分:0
注 册:2007-11-14
收藏
得分:0 
补丁好难下啊
  我的系统都有32个漏洞了  
  每次都下不下来  教育网那个速度真“没得说”

   学编程
     找工作
       不得不做
2007-11-14 21:50
快速回复:[分享]Windows自带工具IExpress
数据加载中...
 
   



关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.016993 second(s), 9 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved