恶意代码伪装技术实践


木马化正常软件。

  • 啊哈……原本以为很复杂……然后我看了一下蔡野同学的博客,发现原理竟然如此简单……

  • 对原先生成病毒的代码稍作修改:

    20145212 罗天晨 《网络对抗》Exp3 Advanced 恶意代码伪装技术实践-LMLPHP

  • 于是……把生成的后门软件改成骗人的名字:这里改成了VMware安装程序,先查杀一下:

    20145212 罗天晨 《网络对抗》Exp3 Advanced 恶意代码伪装技术实践-LMLPHP

  • 点击运行,VM的安装程序果然跳了出来,但是美中不足的是长得很像命令行的后门程序也会跳出来,这个稍微懂一点的都会觉得哪里不对吧?

    20145212 罗天晨 《网络对抗》Exp3 Advanced 恶意代码伪装技术实践-LMLPHP

  • 可以看出成功回连了kali:

    20145212 罗天晨 《网络对抗》Exp3 Advanced 恶意代码伪装技术实践-LMLPHP

  • 通过wireshark可以看见许多互动,这里172.20.10.11是我的虚拟机ip,170.20.10.7是主机ip

    20145212 罗天晨 《网络对抗》Exp3 Advanced 恶意代码伪装技术实践-LMLPHP

  • 虽然成功了,但由于那个命令行的存在我还是很纠结……于是我思考能不能让病毒程序后台隐藏运行,这样看起来就更完美一些,于是想到了后台运行。

  • 使程序后台运行的步骤如下:

    1.在病毒程序的目录下建立一个txt文档,输入以下内容,其中filename就是后门程序的名字:

set ws=wscript.createobject("wscript.shell")
ws.run "filename.exe",0
那么这段代码是什么意思呢,首先run之后的第一个参数“filename.exe”就是你要运行的程序;
第二个参数就是用来控制运行窗口模式的,共有0-9模式,其中0是隐藏后台运行,6是最小化运行。

2.保存之后,将这个文本文档的后缀改成.vbs。

20145212 罗天晨 《网络对抗》Exp3 Advanced 恶意代码伪装技术实践-LMLPHP

3.点击这个.vbs文件,就可以实现后门程序隐藏运行,安装程序正常运行的效果:

20145212 罗天晨 《网络对抗》Exp3 Advanced 恶意代码伪装技术实践-LMLPHP

4.回连kali成功!

20145212 罗天晨 《网络对抗》Exp3 Advanced 恶意代码伪装技术实践-LMLPHP

  • 还是觉得可以更加尽善尽美,因为.vbs是脚本语言的后缀,而我们熟知的安装程序一般都是.exe后缀,想要实现起来思路应该很简单,就是编一个c程序直接system调用一下这个.vbs文件:

    20145212 罗天晨 《网络对抗》Exp3 Advanced 恶意代码伪装技术实践-LMLPHP

  • 最后生成的我将它命名为“伪装成功.exe”的程序,就实现了以上所想要满足的要求,测试回连成功~

    20145212 罗天晨 《网络对抗》Exp3 Advanced 恶意代码伪装技术实践-LMLPHP

    20145212 罗天晨 《网络对抗》Exp3 Advanced 恶意代码伪装技术实践-LMLPHP

05-11 22:12