代码我们都写好了,下面我们将修改后的程序dump到一个新的可执行文件里。如下操作:右键任意代码处选择“复制到可执行文件”→“全部修正”,如图十五。
在弹出的对话框中选择“全部复制”,然后会出现一个新的窗口,关闭这个窗口,会提示你是否保存,选择“是”出现保存文件对话框如图十六,保存后就大功告成了。
![](’http://www.anqn.com/pic/6/10_4_ca9b32d2e619cb4.jpg"’)
运行一下看看,屏幕闪了两次cmd窗口后记事本弹了出来(5555555,不能动态抓图,所以无法给大家展示这瞬间的美丽了~~~)。用net user看后,确实添加了一个管理员帐户mfm。实验成功!
总结
如果你仔细点,会发现修改后的notepad和先前的那个大小依然一样。这是因为我们所添加的那些代码本身就是在notepad自身空间内的。将上面修改后的notepad.exe覆盖肉鸡上的notepad.exe,只要他打开文本文件或者直接运行记事本都会先添加一个mfm帐户了。当然了,我添加的那些代码并不实用,弹出的cmd窗口会非常显眼而引起怀疑。我们可以进一步优化这些代码,甚至添加一个开端口或者反向连接的后门都可以(只要宿主程序“dead space”足够大就可以)。
可想而知,谁会去注意一个看上去是那么正常的程序呢?而实际上这个程序确实已经被我们修改过了。这篇文章作为一个思路给大家,剩下的就靠大家去发挥了。有问题的读者可以去X论坛讨论。
这个文章发出后,又很多读者都向我提出了很多问题。在此我感谢支持我的朋友们,本篇文章是在xp下实践成功的。在其他系统都大同小异,留给大家一个想象的空间。欢迎大家继续关注我将在x档案第三期发表的《逆向工程打造免杀后门》。
上一页 1 2 3 4 5 6 |
安全中国首页 > 文章中心 > 逆向工程技术