杀毒软件无法查杀的组合式木马－简单自然是最高境界!!

　　一般而言在传统观念上黑客要自己设计木马不外乎是使用某个程序语言 (如：
C、C++、VB、Delphi…等)，然后使用相对应的开发环境与编译器 (Compiler)
(如：VC++、Visual Studio、VB、Delphi…等) 创建可程序文件 (.exe) 或
.DLL 文件，然而对于半调子黑客当然不可能这样做，可是不写程序要如何设计
出自己想要的木马呢? 在本文中将给你完整的解答。

◎完美的要求
　　 由于半调子黑客不会写 (或不想写) 程序、也不懂高深技术、经验也不足，
所以要能动手设计出自己心中所想要的木马，当然希望：
◆不需要学习复杂的编程语言，最多了解简易的 Script 就可以进行设计。
◆不需要累积许多编程经验，对于会写 (或略懂) 程序的人而言这似乎难以想像，
　 不过对半调子黑客而言完美的要求当然应该要具备这样的条件。
◆不需要真正写程序来设计，最好是简单的选择、设置与操作就可完成编程般的
　 工作 (What you want what you got?!)，这听起来好像不可能，但并非天方
　 夜谭，因为的确有这类的工具软件，通常称为程序生成器或视觉化设计工具
　 (例如：Dreamweaver)，问题在于是否适合拿来作为设计木马的工具。
◆容易更改、删除或添加，如此当已经有杀毒软件开始查杀此木马时，就可以很快
　 的再重新制造出一个功能相同但不会被查杀的变种木马。
◆杀毒软件很难查杀，这肯定是所有黑客最期望的能力，但却是网络安全与个人机
　 防护最大的梦靥。
◆能够实现黑客大多数的想像与创意，如此才能发展出各式各样不同功能的木马。
　　怎么样? 这些条件看起来根本是不可能的任务嘛!! 而且这不仅是半调子黑客，
应该是所有想要拥有自己专属木马的黑客梦寐以求的完美工具吧!!

◎考虑与分析
　　 在前一节中我们已经了解到黑客心中所期望的完美木马设计工具，然而真的有
这样完美的工具吗? 当然没有，就像我们在日常所见的环境中 PV从不会等于 nRT
一样 (化学波以耳定律，在理想状况下 PV=nRT)，虽然如此，要找出虽不满意但可
接受的工具仍然是可能的，不过既然不写程序则能实现的事肯定不多或受到许多限
制，那黑客要如何设计出各种不同功能的木马呢? 此时就真的要发挥创意与想像了
，最可行的方法就是选择一个适当的工具来设计木马主程序，然后搭配 (或选择)
其他适当的小工具来实现黑客所想要实现的功能，如下图所示。
Tips:其实充分发挥的想像与创意，任何工具都有可能设计出意想不到功能的木马，
　　 甚至不必查找其他工具，只利用 Windows 系统自带提供的小工具就能设计出
　　 功能完整、可接受黑客指示来工作、完全不会被杀毒软件查杀的木马、在 Q44
　　 、Q52、Q55 中都有完整的范例与说明。



　　由上面的图解你可以发现充分发挥创意与想像就有可能设计 (组合) 出各种功能
的木马 (即所谓的组合式木马，Combination Trojan)，甚至设计出具备多功能的木
马…不相信? 在 Q62 中发挥创造力的黑客就会让你彻底心服口服，当然小弟也会找
出相对应的防护之道。

◎现实的选择
　　 综合前面的结论黑客必须先查找一个不算完美但还可满意的工具来设计木马主架
构程序，然后再依照该木马想要做什么事，再查找相关、适合的小工具来组合成完整
的木马，由于小弟才疏学浅、寡学少闻 (这样也能写本书?!)，所以依照小弟的了解
比较适合拿来作为设计木马主程序的工具大概有下列三类：


安装生成工具
　　相信大家都知道许多软件要安装后才可使用，然而软件的设计者很少自己写安装
程序 (除非该软件很简单或不必安装)，大多使用安装生成工具，就能以方便、简单、
迅速的方式完成软件的安装程序，而不必花太多时间在设计安装程序上 (所以也可算
是一种程序生成器)。既然安装生成工具能依照用户的需求创建安装程序，当然也就
有可能生成木马，不过这类打包工具有好几个，而且功能差异颇大，因此黑客还需要
进一步的分析与了解后才能找出最适合设计木马的安装生成工具，在下一个 Q5 中会
对安装生成工具设计木马的优缺点、黑客如何选择最适合的安装生成工具、安装软件
打包工具如何避免被黑客利用…这些内容做深入、详细的讨论与说明。

支持某种语法的文件文件
　　许多数据文件或某种格式的文件，为了有更多的功能与扩充性，会支持某个语法，
最常见的就是 MS-Office 各产品支持 VBA，因此黑客就可以在 .doc、.xls、mda、
.ppt 文件中包含木马功能的语法，诱骗被黑者打开后运行而达到目标。
　　由于这类文件 (如：.mda) 必须依靠相关的应用软件 (如：MS-Access) 打开后
才能运行其中包含的语法，因此黑客会选择大多数人使用的文件 (最常见的就是
MS-Office 各软件的文件)，否则被黑电脑打不开 (若没安装相对应的软件也打不开)
木马任务当然也就失败。
　　通常这类文件几乎都是大公司的产品，而绝大多数的黑客也都选定 MS-Office
各文件来设计木马或恶意源码，在 Q8 中会更详细的与你讨论黑客利用这类文件设计
木马或恶意源码的优缺点，与彻底有效的防护措施。
Note:这类文件所支持的语法在学习与使用上都不会太复杂与困难 (例如：VBA 比
　　 VB 简单好用)，否则半调子黑客不如直接学 C、C++、VB 或 Delphi 还比较
　　 有用，但还是不能免除完全不学习程序语言的困难。

可运行代码文件
　　既然支持某个语法的文件文件都能作为黑客利用的工具，那本身就是代码的文件
当然也会被黑客利用 (通常是某种 Script)，最典型的就是网页文件 (也就是 HTML
文件)，在 HTML 文件中除了 HTML 代码还可以包含 VBScript 与 JavaScript 两种
代码，其中 VBScript 与 Windows 系统关联性强，所以黑客较常使用，而 HTML 与
JavaScript 主要是给网页设计用的，因此黑客除了利用一些代码上的漏洞外很难用于
木马设计，不过夹在 HTML 文件中的 VBScript 代码毕竟无法与一般的程序代码相比
(如：C、C++、VB、Delphi…等)，因此最多只能设计功能较单纯而且不复杂的木马或
恶意源码，不过在网络安全的大旗下，几乎所有具有安全威胁的函数或功能都被浏览器
或杀毒软件封杀，或提出警告，因此现在大多数黑客已经不会再使用 VBScript 来设
计类似木马的功能或恶意源码，本书中也就不再讨论。
Note:其实 VBA 与 VBScript 可算是峦生兄弟，只是一个在 MS-Office 各文件中使
　　 用，一个则是在 HTML 文件中使用，对黑客而言在设计与优缺点上是差不多的。
●●●●●本文取自於 黑客任务 之 华山论木马 ●●●●●