木马入侵急先锋

牧马人

吃过晚饭以后，朱坚强和平常一样，打开电脑上网闲逛。当然，还少不了打开木马的客户端程序，看看今天又有多少“肉鸡”回到了“鸡窝”。其实，朱坚强并不是大家所说的黑客，他仅仅是对黑客技术有一点兴趣而已。平时，他最大的爱好就是远程偷窥坐在被控制电脑面前的MM，并且获取其QQ号，与之进行一番神聊。

老白指点迷津

最近朱坚强发现，回到“鸡窝”里的“肉鸡”是越来越少，虽然他每天都很勤奋地捕捉新的“肉鸡”，但还是有一种“入不敷出”的感觉。于是，他去找自己的同学老白诉苦。老白听后，同情地对他说：“坚强呀，尽管现在木马的功能都很强，但是面对各种各样的安全软件，还是有些力不从心啊！”朱坚强不解地问：“可我的木马程序都是经过免杀处理的呀？”老白一边摇头一边回道：“当前杀毒软件采用的技术可谓多种多样，除了常见的特征码杀毒以外，还有什么启发式、主动防御等，这些综合起来实在让人防不胜防啊！”朱坚强听了，有点着急：“那怎么办，就没有办法了吗？”老白摸着自己寸草不生的头说：“谁说没有办法？我们且不说‘机器狗这种可以破坏硬件还原卡的病毒，就连以前的‘熊猫烧香和‘AV终结者等病毒也可以把杀毒软件折腾得够呛。告诉你啊，现在我们还可以利用工具软件，让它抢在木马入侵前就破坏掉用户系统中的杀毒软件，这样木马入侵后就能顺利地运行了。你说，这方法怎么样？走，到你那儿去，我教你。”

《煽动者》显威力

坐在朱坚强的电脑前，只见老白插入了随身的闪盘，从中打开一款叫《煽动者》的小软件（有技术研究兴趣的读者，可以在网络上搜索下载）。这款软件本来是德文的，后来有网友简单地汉化了一下。首先，在主界面上的“煽动者名称”和“另存为”选项中，设置生成文件的名称和存放的路径（如图1）。这里老白将“煽动者名称”设置为pcd（小编插话：pcd字样用在这里，总觉得怪怪的），存放路径保持默认不变。然后，勾选“杀行动”中的所有选项，通过它们就可以关闭系统的安全设置和干掉常见杀毒软件的进程。由于这是一款国外软件，所以它默认针对的杀毒软件也全是国外的，不过我们可以进行编辑。

在“额外的命令”中可以输入各种命令：输入“ping 127.0.0.1”可以延长命令的执行，为破坏杀毒软件提供充足的时间；输入“tskill Ravmond.exe”命令就可以结束《瑞星杀毒软件》的监控进程。在“特别功能”中点选“主动传播”，这样生成的文件就具备了主动传播的特性。最后，在“运行”中选择“标准”选项，设定需要运行的木马（当然还可以设置一个用于迷惑用户的伪装文件，比如图片文件、音频文件等）。设置完成以后，点击“生成”按钮即可。

通杀国产杀毒软件

文件创建成功后，发现生成的竟然是一个pcd.bat批处理文件。这样也好，便于我们修改。用记事本打开这个批处理文件可以看到，它主要是通过结束杀毒软件的服务或进程来保护木马入侵的。虽然在前面添加的是一句结束《瑞星杀毒软件》进程的命令，但我们可以在代码中，针对其他的国产杀毒软件进行新的命令添加，譬如“tskill KAVStart.exe”就可以结束《金山毒霸》的进程。同时，也可以添加停止启动服务的代码，比如“net stop KWatchSvc”就可以停止《金山毒霸》的实时监控服务。当然，最好再多复制几行“ping 127.0.0.1”代码，从而保证各种命令有充裕的执行时间（如图2）。

批处理文件在运行的时候，会调用系统的命令提示符窗口来执行命令，而这些弹出的窗口必然会引起别人的怀疑。加用脚本文件，就不会有这个问题出现了。用记事本新建一个空白文本，输入下面的内容，然后“另存为”kill.vbs。Set ws = CreateObject(“Wscript.Shell”)ws.run “cmd /c pcd.bat”,vbhide

现在用鼠标将pcd.bat批处理文件、kill.vbs脚本文件、木马文件和伪装文件全部选中，点击鼠标右键菜单中的“添加到压缩文件.rar”命令，生成一个RAR格式的压缩文件。下面再将它转换成EXE自解压文件。用WinRAR打开这个压缩文件，依次点击工具栏上的“自解压格式”→“高级自解压选项”→“常规”标签，在“解压路径”中填入自解压后的文件存放目录（例如：%systemroot%，表示解压到系统目录中），在“解压后运行”中输入脚本文件kill.vbs（如图3）。

在最后，老白运行了一款叫《WinRAR自解压完美免杀补丁》的小软件。点击其“应用”按钮选择刚刚创建的自解压文件，它就会自动为自解压文件添加免杀功能（如图4）。OK，大功告成！老白对朱坚强说道：“好了！你看，当这个具有免杀功能的自解压文件在用户电脑上运行后，其中的脚本文件就会调用批处理文件，而批处理文件中的代码就会依次执行，从而干掉杀毒软件的进程和终止杀毒软件的服务。当杀毒软件都被处理得差不多时，木马才开始在系统后台运行。这样没有了杀毒软件的干扰，你想干啥就干啥！”