清原長風(fēng)

喜歡黑客技術(shù)的朋友，必定都經(jīng)常與木馬病毒打交道。雖然利用木馬病毒可以控制別人的電腦，偷窺別人的隱私……，但殺毒軟件可不是吃素的，它們個(gè)個(gè)都是見血封喉的主兒。別說國外了，光國內(nèi)厲害的殺毒軟件就有瑞星、金山和江民等一大票，木馬病毒“危在旦夕”呀!于是呢，我就成天琢磨著如何才能讓木馬病毒擁有強(qiáng)大的免殺能力。

生成木馬

經(jīng)過我的不斷摸索和實(shí)驗(yàn)，終于找到一個(gè)讓木馬病毒免殺的好方法。這個(gè)方法很鮮活喲!我是以國內(nèi)知名的殺毒軟件最新版一一《金山毒霸2011》為例，對(duì)一個(gè)名為!上興”的木馬病毒進(jìn)行免殺處理的。

首先，我下載并運(yùn)行了“上興遠(yuǎn)程控制4.9”，我要用它生成一個(gè)木馬服務(wù)端。然后，打開“配置服務(wù)端”窗口，我在這里的設(shè)置內(nèi)容如下(如圖1)。在最上端的IP地址框中，輸入本機(jī)的IP地址192.168.111.1(這是個(gè)內(nèi)網(wǎng)IP地址，因?yàn)槲沂窃诰钟蚓W(wǎng)里做實(shí)驗(yàn)的)。當(dāng)然還要跟上端口號(hào)，格式為“IP地址：端口號(hào)”，其他的“安裝名稱”、“安裝路徑”和“連接密碼”等都保持默認(rèn)即可。“上線分組”框中的文字我自定義為“過金山毒霸”，并勾選“本地正規(guī)運(yùn)行”項(xiàng)。最后，點(diǎn)擊“生成服務(wù)端”按鈕，‘c上興”木馬服務(wù)端就創(chuàng)建成功了。

接下來，我把這個(gè)沒經(jīng)過任何免殺處理的木馬服務(wù)端文件放到一臺(tái)裝有《金山毒霸2011》的電腦中。結(jié)果，《金山毒霸2011》馬上就檢測到了它，并且立即將之刪除(如圖2)。當(dāng)然，這樣的木馬被殺掉是屬于正常的事，要不然殺毒軟件公司就該去喝西北風(fēng)了，隨后我還測試了《金山毒霸2010》，此木馬同樣被殺。

免殺處理

下面，我就開始對(duì)木馬服務(wù)端文件進(jìn)行免殺處理。這里要用到y(tǒng)oda's Crypter 1.3這款小軟件。我需要做的，就是用鼠標(biāo)將木馬服務(wù)端文件拖到這款小軟件的界面上，然后點(diǎn)擊“Protect!”按鈕即可(如圖3)。

這么簡單?沒錯(cuò)!就是這樣簡單的一步，我就完成了“上興”木馬對(duì)《金山毒霸2011》的免殺工作。當(dāng)然了，成不成功，我必須進(jìn)行測試后才知道。

成功免殺

將經(jīng)過免殺處理后的木馬服務(wù)端文件再次拷貝到裝有《金山毒霸2011》的電腦中，用《金山毒霸2011))對(duì)它進(jìn)行病毒掃描。結(jié)果，《金山毒霸2011》在掃描后居然沒有任何發(fā)現(xiàn)，認(rèn)為它不是病毒(如圖4)!

看來快要成功了。為什么這樣說呢?這是因?yàn)槲疫€要測試此木馬的各項(xiàng)功能是否都可以正常運(yùn)行。只有通過這些測試，才能說明我的免殺方法是完美的。

我在裝有《金山毒霸2011》的電腦中運(yùn)行這個(gè)木馬服務(wù)端文件，也就是讓它中毒。不到1秒鐘，我電腦上的客戶端程序就提示中毒的這臺(tái)電腦上線了……。此后，我不僅能看到它的系統(tǒng)桌面，還能對(duì)它進(jìn)行各種控制操作，并且這一切都是在《金山毒霸2011》的實(shí)時(shí)監(jiān)控下明目張膽地進(jìn)行的(如圖5)。

經(jīng)過我的全面測試，此木馬的功能完好無損，都可以正常使用。另外，我還測試了一下《金山毒霸2009》和《金山毒霸2010》，此方法都有效!

思考：嚴(yán)格來說，我只用了簡單一步，就實(shí)現(xiàn)了比較完美的木馬免殺，讓最新版本的殺毒軟件變成了聾子和啞巴。因此，我覺得殺毒軟件與木馬病毒的斗爭依然是頻繁和長期的，也就是“道高—尺，魔高一丈”的道理。本方法測試的《金山毒霸》病毒庫是2010年4月24日更新的，在測試的系統(tǒng)中還安裝了《金山衛(wèi)士》最新版，也沒有任何警告提示。電腦安全，任重而道遠(yuǎn)……