怎样配置或修改客户端木马程序?
配置木马要用木马软件的客户端,如灰鸽子的客户端
但是一开始配置出来的都会被杀毒软件杀到的
如果你想不被杀软探测到 可以买客户端的VIP 或者加最新的壳 不过都比较难实现
更好的 *** 就是免杀了 可以加壳 加花什么的
给你推荐一套免杀教程,说的十分详细
教程1
教程2
教程3
另:
1.内存免杀思路
;goto=lastpost
-这个文章写的非常好,不久前网上看到的,值得看一下
2.
这个是世界反病毒网,里边有很多款世界著名杀软,免费在线查毒。如果你想测试你做的客户段的免杀程度的话,就来这里测试好了
注意:上传样本的时候一定要选择“不发送病毒样本”,不然就会上报给杀软公司,这样你辛辛苦苦做的免杀就白做了。
===========================================================
希望你能成功免杀,如果实在不行的话,随便加几个壳什么的试试
参考资料":
什么是木马服务端?
首先应该明确的是受害者的机器上运行的木马程序我们称之为服务端,控制者机器上运行的我们称之为客户端(其实对于现代的木马,已经很难说谁是客户,谁是服务了,不过我们还是继续用这种叫法)。另外虽然Windows9x仍然有巨大的用户基础,但是Windows9x向Windows XP迁徙只是早晚问题,所以这里的讨论主要是针对NT/2000/XP平台的。
1.使用TCP协议,服务端侦听,客户端连接
这是最简单,最早,最广泛使用的一种通讯方案。使用过冰河或者被冰河客户端扫过的对此一定不会陌生。这种通讯方案是服务端在宿主机器上开一个TCP端口,然后等待客户端的连接,在通过对客户端的认证后,客户端就可以控制服务端了。由于是建立在TCP协议基础上,所以通讯的可靠性是得到保证的。但是通讯的安全性却很成问题。首先,使用像fport,tcpview pro这样的工具可以很容易的发现在某一端口上侦听的进程,以及进程对应的可执行文件。其次,在安装了防火墙的机器上,当客户端连接到服务端时,很容易引起防火墙报警。
2.使用TCP协议,客户端侦听,服务端连接
这就是所谓的反向连接技术了。为了克服服务端在某一端口上侦听易被发现这一缺点,现在服务端不再侦听端口,而是去连接客户端在侦听的某一端口。这样用一般的port scanner或者fport就很发现不了服务端了。而为了更好的麻痹宿主机,客户端侦听的端口一般是21,80,23这种任何人都要访问的端口。虽然在安装了防火墙的机器上,服务端去连接客户端还是要引起防火墙报警,但是一个粗心的用户很可能会忽略“应用程序xxxxx试图访问xxx.xxx.xxx.xxx通过端口80”这样的警告。
这种反向连接技术要解决的一个问题是,服务端如何找到客户端。由于一般客户端都是拨号上网的,没有一个固定的IP,所以客户端IP不可能硬编码在服务端程序中。当然由于拨号上网用户的IP一般都是处于一个固定的IP地址范围内,服务端也可以扫描这个范围,然后根据被扫描主机的反馈来确定是否是自己的客户端,但是服务端扫描一个IP地址范围也太……另一个 *** 是客户端通过一个有固定IP或者固定域名的第三方发布自己的IP,实现的 *** 就很多了,比如通过一个公共的邮箱,通过一个个人主页,就看你有多大的想象力的。
3.使用UDP协议,服务端侦听,客户端连接;客户端侦听,服务端连接
*** 和安全性与使用TCP协议差不多。需要注意的是UDP不是一个可靠的协议,所以,必须在UDP协议的基础上设计一个自己的可靠的报文传递协议。
4.解决防火墙问题,无论是服务端被动侦听,还是服务端主动连接,在服务端和客户端试图建立连接时都会引起防火墙得报警
毕竟粗心得用户不会很多,所以,解决防火墙报警是服务端必须要解决的一个问题。一种 *** 是代码注入,服务端将自己注入到一个可以合法的与外界进行 *** 通讯的进程(比如 IE, ICQ, OICQ, TELNTED, FTPD, IIS等)的地址空间中,然后或者可以以一个新线程的形式运行,或者只是修改宿主进程,截获宿主进程的 *** 系统调用(WinSock)。后者的实现可能要麻烦一些。如果是以新线程的形式运行,那么然后或者可以被动侦听,或者可以主动连接。
无论哪种情况都不会引起防火墙的报警(当然不是百分之百不会引起防火墙报警)。但要注意的是如果是被动侦听的话,比如寄生在IE内,用fport会发现IE在某一个端口侦听,这有可能会引起细心的用户的警觉。所以比较好得 *** 是在新线程内去主动连接客户端,而且连的是客户端的80端口;如果是寄生在OICQ内,何不连接客户端的8000端口。使用代码注入需要服务端具有若干特权,考虑到一般用户都是以Admin身份启动NT的,这应该不是一个问题(如果服务端是作为一个service启动的话,就更没问题了)。
5.再讨论一下服务端主动连接时客户端IP的公布问题
使用第三方公布客户端IP不是一种可靠的 *** 。比如如果是通过一个个人主页发布客户端IP的话,一旦由于种种原因,这个个人主页被主页提供商取消的话,服务端就找不到客户端了。而这种个人主页被主页提供商取消的可能性是很大的。同时客户端也要冒暴露自己的IP的风险。所以更好的 *** 是客户端通过某种 *** 主动告诉服务端自己的IP和端口,然后服务端来连接。这样可以保证更大的可靠性,安全性和灵活性。
服务端怎么收到客户端的通知呢?一种 *** 是我们截获其他进程收到的TCP数据或者UDP包,然后分析截获的数据,从中确定是否客户端发来了一个报告其IP的数据片断。另一种 *** 是使用RAW socket来收听ECHO REP *** 类型的ICMP包,在ICMP数据包的数据去就包含了客户端IP。而对于普通用户来说,由于要上网浏览,这样的ICMP包是很少过滤掉的。
6.用ICMP来通讯
既然客户端可以通过发一个ICMP(ECHO REP *** )来告诉服务端它的IP,那为什么不把所有服务端和客户端的通讯都建立在ICMP的基础上呢?服务端向客户端发ICMP(ECHO REQUEST),客户端向服务端发ICMP(ECHO REP *** ),然后可以在ICMP基础上建立一个自己的可靠数据报通讯协议。如果不怕烦的话,还可以建立一个TCP over ICMP。由于一般的用户这两类ICMP包都是设为无警告放行的,这种 *** 的隐秘性还是很强的。
7. 用自定义的协议来通讯
我们知道IP头的协议字段指定了这个IP包承载得数据的协议,比如TCP,UDP,ICMP等等。我们完全可以把这个字段设为我们自己定义的值(80),定义自己的通讯协议。不过估计这种IP包将会被所有的防火墙过滤掉。
8.关于服务器上的木马的通讯隐藏
前面所说都是针对个人用户(大部分都是拨号用户,包括Modem,ISDN,ADSL,FTTX+LA,Cable Modem)。对这类机器来说,一般都没有开什么服务,而且一般都使用了个人防火墙,同时ICMP ECHO REP *** /REQUEST都是放行的,所有才有我们上述的各种方案。而对于服务器来说,至少要开HTTP服务,同时,又一般位于专门的防火墙之后。这个专门的防火墙很可能过滤掉除类型为TCP,且目的端口为80的IP包之外的所有的IP包,更不要说各类ICMP包了。向下的方案通不过,我们可以试试向上的方案。一种 *** 就是注射到IIS服务的进程空间中,然后在IIS接受到木马客户端的请求前来个预处理,在IIS将数据发给木马客户端时来个后处理,不过我不知道怎么实现,不知哪为高手知道。
通讯隐藏技术只是木马隐藏诸技术中得一部分,但也是最重要的一部分。因为他不但要保护木马,还要保护木马得控制者,所以不管是木马编写者,还是防火墙编写者,都应该对这一部分给于足够的重视。
app内有木马病毒有资金风险
使用借贷APP一定要从正规渠道下载,现在一些新型 *** 贷款团伙通过在APP中嵌入木马病毒来控制借款人手机,从而达到催收回款的目的。近期,上海警方就打掉了一个这样的团伙,涉案成员遍及全国各地。
软件嵌入木马病毒
今年8月,上海警方接到吴先生报案,称其受到了暴力催收。吴某表示,8月初其在一网站论坛上看到一款贷款广告,宣称不需要提供个人征信并且放款快,只需要在申请借款时向工作人员提供手机的品牌及具体参数即可,这让他很心动。
在与 *** 交流中,吴先生得知放贷额度是根据其手机回购价值进行评估,一般按照20%发放,所以需要提供自用手机的详细参数。吴先生向 *** 提供了手机的相关信息和登录账号后,得到了 *** 发来的链接,吴先生打开链接下载了一款名为“聚宝盆”的贷款软件。
*** 告知吴先生,评估其手机价值后得到其贷款额度为400元,但实际只能放款200元,剩下200元将作为利息收取,3天后吴先生总共需还款400元,如逾期,每天将收取100元的逾期费。得到吴先生的认可后, *** 给他转账200元。
3天过后吴先生未按时还款,这时发现自己的手机无法正常操作,就连恢复出厂设置也不能使手机恢复正常, *** 告诉吴先生,这是因为未还款导致手机被锁死。吴先生于是向警方报案。
警方在调查中发现,这是一起以品牌手机贷的名义实施高息套路贷的骗局。今年9月,警方在掌握具体证据后对该团伙进行了抓捕。据了解,27岁的朱某是团伙核心人物,他委托技术人员开发了名为聚宝盆的手机软件,该贷款软件实质嵌入了木马程序,能在后台远程控制下载软件的手机。在业务开展过程中,朱某发展了冷某等下线,教会其使用该木马程序远程控制他人手机。冷某还在辽宁租赁办公场所,制定放款额度、提供收款账号,同时雇佣杨某、王某、赵某等人进行放贷、催收、锁机等操作。
今年7月起至9月该团伙落网,涉案流水金额超过50万元,非法获利逾26万元。目前,朱某、冷某等5人因涉嫌非法经营罪被检察机关依法批准逮捕,其余8名犯罪嫌疑人已被采取刑事强制措施。
窃取隐私信息意在控制用户
通过下载工作人员发送链接中的借贷APP软件造成损失的案例比比皆是。因为没有经过正规应用商店的筛选,许多软件被轻易嵌入木马插件,轻则收集用户隐私信息,严重则直接让用户的机器瘫痪。
在相关新闻报道中,一些小型贷款机构为催回款项,喜欢在贷款APP中嵌入一些程序,实时获取用户的具 *** 置。有用户在黑猫投诉上反应,其在一款借贷APP上借款逾期之后,实时收到了自己所在位置的短信,他怀疑自己手机被监视了。
一些网贷APP嵌入的木马病毒并不会随着应用卸载而消失,在相关论坛中,有讨论者表示,他卸载了APP之后,新录入的联系人信息仍然泄露出去,并且被催收公司发送骚扰信息。专业人士表示,这种情况的出现是因为手机之前下载的APP被嵌入了插件或木马,即使卸载软件,插件还是存在手机里,继续窃取用户隐私信息。用户一般通过格式化手机可以达到彻底清除病毒。
在常见恶意催收方式中,还有通过读取债务人手机相册和媒体文件,并将隐私照片发送给债务人的情况。这种方式虽然并未通过嵌入插件等方式来非法获取,而是通过在默认同意的“隐私协议条款”加上授权读取相关隐私信息的选项。但这种过度搜集信息的方式仍然是不合规的,特别是个人信息保护法实施后,过度搜集与提供的服务无关的个人信息将会受到严厉打击。
恶意催收的屡禁不止一定程度上也反映出借贷平台对逾期坏账的担忧。一些平台因为前期风控问题在放贷过程中授信不严格、审核不规范等,导致后期需要催收的逾期贷款居高不下。面对一些老赖和撸贷族的恶意逃废债,这些机构通过正规催收方式催回款的占比极低,于是它们选择了铤而走险的方式。而其他大型的委外催收机构,面临的同业竞争加剧,也需要提高自己的催收回款能力,在给业务员施加极大的业务要求时,没能开发出更优质的催收方式,这也导致了使用违法催收方式的增加。
0条大神的评论