RobinPE是一个将后门文件藏匿在其它exe文件中的一个软件,它能很方便得实现后门/木马的隐藏,下面我们就一起来看看它是功效吧!
让我们用实验来看看它的好处吧!既然是实验,我们就用Windows自带的记事本开刀。植入后门前请先执行计算空间,这样根据计算后得到的结果才能确定可否植入。后门的体积要小,建议用PCshare或者直接用一个下载者,我这里选择Anskya Downloader lite迷你版,因为它生成的服务端经过加壳后不到2K,实在是居家旅行必备之物,建议人手一个!界面如图1所示。
图1
连接里的文件是 “开始按钮突破专家”生成的服务端mm.exe,4.3K,用Mew1.2压缩后只有1.13k了。我们先试一下是不是可以正常运行,直接运行后江民和瑞星的实时监控都没有反映,看来没有问题,但是用卡巴斯基的在线查毒(http://www.kaspersky.com/scanforvirus)还是可以看见它是“infected by Trojan-Downloader.Win32.Small.ags”。大家在确定目标的时候一定要注意它是用的什么杀毒软件哦!
一切准备好了,我们开工!打开RobinPE-new,如图2所示。
图2
“后门文件”选择我们刚刚生成的下载者服务端mm.exe,“整体植入”选择你想打主意的文件,不过根据我的经验,自解压文件不能植入!我这里就用Windows自带的记事本吧!
计算后门的空间和原程序的空间,软件会根据大小得出结论,如果可以植入就会提醒我们:“可以试试”,我们就可以放心的操作了;如果不行的话,就会告诉我们:“估计不行”。不过我们生成的mm.exe才1.13K,哪有不行的?即使不行,我们也可以请出我们的武器PEAdd v1.0,把原程序的空间稍微加大(不能太大,否则将破坏原程序)。
现在 RobinPE的结论是:“可以试试”,那我就不客气了,点“开始植入”,假如失败的话,程序会出现类似这样的对话框,如图3所示。
图3
成功后,我们来试下杀毒软件是不是认得它,如图4所示。
图4
呵呵,顺利通过卡大叔的检测——其实我们在改造木马的时候,只要卡巴查不出,国内的杀毒软件基本上都不认识了!
现在可以说已经成功一半了,但是不要忘记有一款软件“荣成文件捆绑克星”,它终究有什么本事呢?我们请出来看看吧!如图5所示。
图5
只要是稍微有点安全意识的人,都可能意识到有危险吧?我们怎么办呢?当然是要把2个变一个!我发现有个国产猛壳可完美的达到这个要求,那就是“北斗星加壳程序”,如图6所示。
图6