黑客如何给你的系统种木马(2)

　　现在，我们就需要对软件进行脱壳，也就是一种解压的过程。这里我使用了“UPXUnpack”，选择需要的文件后，点击“解压缩”就开始执行脱壳。

　　脱壳完成后，我们需要为服务端加一个新壳，加壳的软件很多，比如：ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例，点击“打开”按钮，选择刚刚脱壳的服务端程序，选择完成后ASPack会自动为服务端进行加壳。再次用杀毒软件对这个服务端进行查杀，发现其已经不能识别判断了。如果你的杀毒软件依旧可以查杀，你还可以使用多个软件对服务端进行多次加壳。笔者在使用Petite和ASPack对服务端进行2次加壳后，试用了多种杀毒软件都没有扫描出来。现在网络中流行的很多XX版冰河，就是网友通过对服务端进行修改并重新加壳后制做出来的。

　　为了避免不熟悉木马的用户误运行服务端，现在流行的木马都没有提供单独的服务端程序，而是通过用户自己设置来生成服务端，黑洞2004也是这样。首先运行黑洞2004，点击“功能/生成服务端”命令，弹出“服务端配置”界面。由于黑洞2004采用了反弹技术（请参加小知识），首先单击旁边的“查看”按钮，在弹出的窗口中设置新的域名，输入你事先申请空间的域名和密码，单击“域名注册”，在下面的窗口中会反映出注册的情况。域名注册成功以后，返回“服务端配置”界面，填入刚刚申请的域名，以及“上线显示名称”、“注册表启动名称”等项目。为了迷惑他人，可以点“更改服务端图标”按钮为服务端选择一个图标。所有的设置都完成后，点击“生成EXE型服务端”就生成了一个服务端。在生成服务端的同时，软件会自动使用UPX为服务端进行压缩，对服务端起到隐藏保护的作用。

　　服务端生成以后，下一步要做的是将服务端植入别人的电脑？常见的方法有，通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑；或者通过Email夹带，把服务端作为附件寄给对方；以及把服务端进行伪装后放到自己的共享文件夹，通过P2P软件（比如PP点点通、百宝等），让网友在毫无防范中下载并运行服务端程序。

　　由于本文主要面对普通的网络爱好者，所以就使用较为简单的Email夹带，为大家进行讲解。我们使用大家经常会看到的Flash动画为例，建立一个文件夹命名为“好看的动画”，在该文件夹里边再建立文件夹“动画.files”，将木马服务端软件放到该文件夹中假设名称为“abc.exe”，再在该文件夹内建立flash文件，在flash文件的第1帧输入文字“您的播放插件不全，单击下边的按钮，再单击打开按钮安装插件”，新建一个按钮组件，将其拖到舞台中，打开动作面板，在里边输入“on (press) {getURL("动画.files/abc.exe");}”，表示当单击该按钮时执行abc这个文件。在文件夹“好看的动画”中新建一个网页文件命名为“动画.htm”，将刚才制作的动画放到该网页中。看出门道了吗？平常你下载的网站通常就是一个.html文件和一个结尾为.files的文件夹，我们这么构造的原因也是用来迷惑打开者，毕竟没有几个人会去翻.files文件夹。现在我们就可以撰写一封新邮件了，将文件夹“好看的动画”压缩成一个文件，放到邮件的附件中，再编写一个诱人的主题。只要对方深信不疑的运行它，并重新启动系统，服务端就种植成功了。

　　三、防范

　　防范重于治疗，在我们的电脑还没有中木马前，我们需要做很多必要的工作，比如：安装杀毒软件和网络防火墙；及时更新病毒库以及系统的安全补丁；定时备份硬盘上的文件；不要运行来路不明的软件和打开来路不明的邮件。

　　最后笔者要特别提醒大家，木马除了拥有强大的远程控制功能外，还包括极强的破坏性。我们学习它，只是为了了解它的技术与方法，而不是用于盗窃密码等破坏行为，希望大家好自为之。

　　小知识：

　　反弹技术，该技术解决了传统的远程控制软件不能访问装有防火墙和控制局域网内部的远程计算机的难题。反弹端口型软件的原理是，客户端首先登录到FTP服务器，编辑在木马软件中预先设置的主页空间上面的一个文件，并打开端口监听，等待服务端的连接，服务端定期用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。

　　因此在互联网上可以访问到局域网里通过 NAT （透明代理）代理上网的电脑，并且可以穿过防火墙。与传统的远程控制软件相反，反弹端口型软件的服务端会主动连接客户端，客户端的监听端口一般开为80（即用于网页浏览的端口），这样，即使用户在命令提示符下使用“netstat -a”命令检查自己的端口，发现的也是类似“TCP　UserIP:3015　ControllerIP：http　ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页，而防火墙也会同样这么认为的。于是，与一般的软件相反，反弹端口型软件的服务端主动连接客户端，这样就可以轻易的突破防火墙的限制。