清原长风
喜欢黑客技术的朋友,必定都经常与木马病毒打交道。虽然利用木马病毒可以控制别人的电脑,偷窥别人的隐私……,但杀毒软件可不是吃素的,它们个个都是见血封喉的主儿。别说国外了,光国内厉害的杀毒软件就有瑞星、金山和江民等一大票,木马病毒“危在旦夕”呀!于是呢,我就成天琢磨着如何才能让木马病毒拥有强大的免杀能力。
生成木马
经过我的不断摸索和实验,终于找到一个让木马病毒免杀的好方法。这个方法很鲜活哟!我是以国内知名的杀毒软件最新版一一《金山毒霸2011》为例,对一个名为!上兴”的木马病毒进行免杀处理的。
首先,我下载并运行了“上兴远程控制4.9”,我要用它生成一个木马服务端。然后,打开“配置服务端”窗口,我在这里的设置内容如下(如图1)。在最上端的IP地址框中,输入本机的IP地址192.168.111.1(这是个内网IP地址,因为我是在局域网里做实验的)。当然还要跟上端口号,格式为“IP地址:端口号”,其他的“安装名称”、“安装路径”和“连接密码”等都保持默认即可。“上线分组”框中的文字我自定义为“过金山毒霸”,并勾选“本地正规运行”项。最后,点击“生成服务端”按钮,‘c上兴”木马服务端就创建成功了。
接下来,我把这个没经过任何免杀处理的木马服务端文件放到一台装有《金山毒霸2011》的电脑中。结果,《金山毒霸2011》马上就检测到了它,并且立即将之删除(如图2)。当然,这样的木马被杀掉是属于正常的事,要不然杀毒软件公司就该去喝西北风了,随后我还测试了《金山毒霸2010》,此木马同样被杀。
免杀处理
下面,我就开始对木马服务端文件进行免杀处理。这里要用到yoda's Crypter 1.3这款小软件。我需要做的,就是用鼠标将木马服务端文件拖到这款小软件的界面上,然后点击“Protect!”按钮即可(如图3)。
这么简单?没错!就是这样简单的一步,我就完成了“上兴”木马对《金山毒霸2011》的免杀工作。当然了,成不成功,我必须进行测试后才知道。
成功免杀
将经过免杀处理后的木马服务端文件再次拷贝到装有《金山毒霸2011》的电脑中,用《金山毒霸2011))对它进行病毒扫描。结果,《金山毒霸2011》在扫描后居然没有任何发现,认为它不是病毒(如图4)!
看来快要成功了。为什么这样说呢?这是因为我还要测试此木马的各项功能是否都可以正常运行。只有通过这些测试,才能说明我的免杀方法是完美的。
我在装有《金山毒霸2011》的电脑中运行这个木马服务端文件,也就是让它中毒。不到1秒钟,我电脑上的客户端程序就提示中毒的这台电脑上线了……。此后,我不仅能看到它的系统桌面,还能对它进行各种控制操作,并且这一切都是在《金山毒霸2011》的实时监控下明目张胆地进行的(如图5)。
经过我的全面测试,此木马的功能完好无损,都可以正常使用。另外,我还测试了一下《金山毒霸2009》和《金山毒霸2010》,此方法都有效!
思考:严格来说,我只用了简单一步,就实现了比较完美的木马免杀,让最新版本的杀毒软件变成了聋子和哑巴。因此,我觉得杀毒软件与木马病毒的斗争依然是频繁和长期的,也就是“道高—尺,魔高一丈”的道理。本方法测试的《金山毒霸》病毒库是2010年4月24日更新的,在测试的系统中还安装了《金山卫士》最新版,也没有任何警告提示。电脑安全,任重而道远……