EXE伪装术之Word束缚精简版
发布时间:2022-04-20 10:15:30 所属栏目:安全 来源:互联网
导读:此文章主要向大家描述的是EXE伪装术之Word捆绑,以下就是文章就是对EXE伪装术之Word捆绑主要内容的详细描述,望大家在浏览之后会对其有更深的了解。在系统容错允许下,于EXE文件末尾添加数据,EXE文件是在实际操作中可以正常执行的。 我们要做就是把木马的数
|
此文章主要向大家描述的是EXE伪装术之Word捆绑,以下就是文章就是对EXE伪装术之Word捆绑主要内容的详细描述,望大家在浏览之后会对其有更深的了解。在系统容错允许下,于EXE文件末尾添加数据,EXE文件是在实际操作中可以正常执行的。 我们要做就是把木马的数据和Word文挡的数据写到伪装器的尾部。结构如下: |bind.exe|muma.exe|Word.doc| 当捆绑的bind.exe运行后,读取捆绑的数据生成muma.exe和Word.doc一并运行,而自身则结束进程。当然这里bind.exe要做的远比我说的要复杂的多,它还承担写数据的功能。 首先说说如何利用Word的图标,前面提到我们是把数据写到伪装器尾部,可见***生成的捆绑程序利用的是伪装器的图标,所有我们直接把伪装器的图标换成Word文档的图标。 本程序代码中Bind_Files()函数负责写数据到伪装器的尾部。 另一个重要的函数就是Unbind_and_Run(),它负责读数据并运行捆绑的文件。伪代码如下: 正如伪代码中所描述的,为了具有迷惑性,我们还将木马的进程名改为WINWord.EXE。 读者又要问了,应该什么时候用Bind_Files(),什么时候用Unbind_and_Run()函数呢?其实就是如何判断自己有没有捆绑数据。本程序通过判断程序本身的大小来决定:当自身大小小于35K时是非捆绑状态,显示正常界面。否则调用Unbind_and_Run()函数,退出自身进程。 怎么样,EXE伪装的很象吧,当运行之后就可以运行木马程序和打开Word文档了。当然了,只要显示文件的后缀,就原形毕露了。 另外,图中看到的“Microsoft Word 文档”和“56 K”字样是修改了程序的版本资源(VS_VERSION_INFO)所得到的。 我一直认为,只要弄清楚了程序的原理和算法,程序的实现就指日可待。所以本文并没有解释大段大段的代码,只是告诉了大家原理,程序的具体实现请大家参看源代码。 以上的相关内容就是对EXE伪装术之Word捆绑的介绍,望你能有所收获。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号