20145326蔡馨熤《网络对抗》——恶意代码伪装技术实践

20145326蔡馨熤《网络对抗》——恶意代码伪装技术实践

一、木马化正常软件

基于之前的后门程序，做一些修改。再将修改后的程序的名字改成一个正常软件的名字，蒙蔽用户的眼睛。哈哈哈，瞬间觉得自己好阴险。因为之前安装过Systracer这个工具，这次就把后门程序的名字改为“Systracer安装程序”。





然后双击运行“Systracer安装程序.exe”。并且成功回连到Kali。





但是有个不足之处，就是程序运行后，会弹出一个类似命令行的“黑框”。我觉得稍微懂点电脑知识的人都会察觉到有什么地方不对。

于是我想让后门程序在后台隐藏运行，这样看起来就更完美一些了。要完成这个功能，就需要用到脚本了。刚好上周庞岩梅老师讲到了关于脚本的一些知识。像“.js”“.vbs”后缀的这些脚本都可以在windows环境下直接运行，因为有WSH存在，WSH即windows脚本宿主语言环境。

首先建立一个txt文件，输入如下内容。



ws.run后的第一个参数代表你要运行的程序，第二个参数用来控制运行窗口模式，共有0-9模式，其中0是隐藏后台运行。

保存之后，将这个文本文档的后缀改成“.vbs”。然后双击运行。果然“黑框”消失了。并且成功回连了Kali。





我又一想，安装程序一般都是“.exe”后缀吧，但这是个脚本文件。想要骗过用户其实很简单，只要编一个c程序直接system调用这个“.vbs”文件就好了：



对于生成后的exe文件，我将其命名为“木马化正常软件”。双击运行后，“黑框”并未出现，而且成功回连到Kali。

二、DLL注入技术（未完成）