装置了最新版的杀毒软件对系统启动包全，时常检查进程，自认安保防护措施十拿九稳，安心大胆地接纳、运转他人发来的文件。但是，一段期间之后，机器中的文件被修正了。为什么防火墙、杀毒软件没有提示？为什么检查系统进程却找不就任何可疑的迹象？为什么采取了这么多安保防护措施还是会“失守”？伪装，你疏忽了伪装……置信大家已经过前几期的“木马屠城”栏目，学会了木马的制造、运行和流传方面的技巧。正所谓“徒弟领进门，修行在团体”，当天大家就可依托自己的力气，综合“木马屠城”曾引见过的知识，经常使用目前最盛行的木马辅佐工具，DIY一个安保性十足的后门程序，让这个后门程序同时具有进程伪装、后盾下载装置、安保经过杀毒软件等本事。 (本文为 WWW.SQ120.COM 电脑知识网介绍文章) 说干就干，找齐下表中所列出的工具后就可马上开“攻”了。咱们当天的目的就是要把一款低劣的AngelShell木马（Angel.exe）修正成具有智能后盾下载、装置并且能免被杀毒软件查杀等特点的后门程序，同时还将它完美地种植到非法程序中去，让攻打目的防不胜防。下载地址：第一步：多重加壳求自保假设木马程序被杀毒软件查了进去，那咱们的入侵就半途而废了，所以说给木马加上一层“壳”（包全层）是目前应先做的事。www.ITCOmPUTer.cOm.cN关于广阔攻打者而言，成功规避杀毒软件的追杀就可使自己的木马顺利地在他人的机器中安家，而要做到这一点会用到的技术就是多重加壳（伪装壳+紧缩壳）。咱们要用到的软件就是驳回多重加壳技术的EncryptPE，运转主程序EncryptPE.exe（图1），在“加密文件”框内选用要加壳的木马文件“Angel.exe”，也可从资源治理器中将要加密的文件（EXE、DLL等）直接拖到 EncryptPE主界面中来。须要留意的是，在左侧要选用“紧缩自定义资源”和“文件中植入壳所需的DLL”。最后，直接点击“加密”按钮即可成功木马程序的伪装（加壳后的文件和原文件同名）。如此一来，再拙劣的杀毒软件也会对经过咱们手工加密后的木马充耳不闻。图1提示：假设是NT服务程序，可选中“特征整数”右侧的Service项。相关于便捷的加壳程序而言，EncryptPE具有操作更简便的长处，而且可以防止新手在启动多重加壳时走入误区，即“先加紧缩壳，再加伪装壳”（紧缩壳在内，伪装壳在外，这种加壳方法是不安保的，极易被检测或反编译进去）。经过这一步，咱们的木马程序就不会被杀毒软件检测进去了。在自身安保有了高度保障的状况下，咱们就可以启动下一步的伪装，让木马程序在对方不知情的状况下自行下载并装置。第二步：暗度陈仓运木马个别的木马程序的体积都很宏大，假设贸然发送给对方势必会惹起疑心，所以，咱们得先让对方口头一个小巧的后盾下载程序，从而直接种植真正的木马。关于广阔攻打者而言，这一技术无疑会让木马可以更隐蔽地在对方机器中安家。咱们可以经常使用KaoTan Web Downloader，它能即时或定时下载指定URL的文件，并能放到咱们事前设置好的指定的系统目录并口头（所有操作均在后盾启动，前台无任何运转痕迹）。值得一提的是，它可将自身注入到系统进程中，即使用户经常使用进程检查软件也不可看出任何蛛丝马迹，隐蔽性极强，这也是咱们选用它的重要要素。运转主程序后，产生如图2所示的界面，在Server选项卡中的“URL1”中输入寄存“Angel.exe”（由AngelShell.exe生成的服务端）的地址“”。“URL2”的性能与“URL1”相反，由于并不须要设置，所以可勾选“URL2”旁边的“off”。而后在“Name1”中输入程序下载后的程序名“name.exe”。图2接上去，进入Options选项卡。为了增强隐蔽性，笔者倡导大家启动以下设置，将后盾程序进程拔出Explorer进程，寄存目录设为Temp目录，同时设置后盾程序1分钟后智能下载运转。设置得当后，点击“Build”按钮就可生成能智能下载后门程序的name.exe。这样一来，当他人运转name.exe后，程序会立刻拔出到系统的Explorer进程，并且会在60秒后智能下载咱们指定的后门文件并运转，这样一来就可以继续咱们进一步的入侵和控制了。经过这一步的操作，咱们的木马程序就可经过“绕弯”法，被装置到被攻打的机器上，这样“迂回”的装置模式在必定水平上增强了木马的隐蔽性。但是，咱们还须要使它“非法”。第三步：非法程序藏木马万事俱备，只欠西风。木马基本上伪装终了了，但是将这个“光秃秃”的木马程序发给他人，傻瓜才会受骗呢。因此，最后的这一个环节，大家必定要将木马程序植入到“非法”程序中去，让对方“安心接受”。对文件捆绑技巧，大家应该再相熟不过了，正是由于它的盛行，才培育了一批批木马的分散，不过树大招风，在杀毒软件的围歼下，捆绑模式曾经面临淘汰。但是，正所谓“野火烧不尽，春风吹又生”，随之而来的新“植入”模式也降生了（即程序拔出技术）。运转主程序RobinPE.exe后（图3），咱们在“后门文件”栏当选用了刚才生成的name.exe，而后在“全体植入”栏当选用一个非法的运行程序。软件会智能计算后门的空间和原程序的空间，并且会依据它们的大小得出论断，假设可以植入就会提示咱们“可以试试”。不过，咱们生成的name.exe在经过EncryptPE紧缩后只要十几KB，十分容易成功植入。图3提示：全体植入是将文件植入到一个exe文件之中。以后每次反常启动文件，咱们植入的文件就会轻轻的生成并口头。设置终了，点击“开局植入”就成功了木马植入上班。如今，当对方运转看似“非法”的程序时，木马早已轻轻安家落户了。随着这一步的成功，咱们的木马程序就已被包装得有模有样了，不只要了可以规避杀毒软件的马甲，更有可以躲过被攻打者双眼的“非法”的外衣。如此一来，最后生成的这个看似非法的程序实践上就是咱们的“完美后门”了。经过以上三个步骤的变革，实验对象“AngelShell”（也可以是其余任何一款木马程序）锦上添花，对方想不中招都不行。这也说明了咱们身边有些工具在独自经常使用时看似便捷无用，其实不然，只需咱们有目的性地，奇妙地联合它们，这样所发明进去的威力是不容小视的。宿愿广阔读者能够真正体会到木马环球的变幻无穷，做到真正的“举一反三”、“一通百通”。小知识：AngelShell木马咱们知道，网上能穿透配件防火墙的后门程序十分少。但是，AngelShell不只可以穿透防火墙成功反向衔接，而且它还可以让一切正向衔接的程序都成功反向衔接。AngelShell的另外一个特征就是它能开启一个专门用来包全自己的线程。它能每隔0.2秒就审核一次性注册表，一旦发现对自己不利的修正都会启动阻止。另外，程序的加载驳回服务共享的模式，程序在启动之后是不可中止的，所以中招者不可中止服务也不可修正它的属性，除了重装系统没有其余的肃清方法。如此弱小的自我包全性能，十分无利于咱们常年控制肉鸡。

SuperScan和Hide工具简介 假设用户要启动端口扫描的话，当然首选SuperScan。SuperScan是一款基于TCP协定的端口扫描器、Pinger和主机名解析器。它经过多线程和异步技术的运用，使程序具有极快的扫描速度和极多的性能，岂但界面友好，而且还能明晰地显示出对方端口的回应信息。SuperScan可以针对恣意的IP地址范畴的Ping和端口扫描，并且能同时扫描多个恣意端口；解析和反向解析恣意IP地址或范畴；经常使用内建编辑器修正端口列表及端口定义；经常使用用户自定义的运行程序与任何被发现关上的端口启动衔接；检查被衔接主机的回应；保留扫描列表到文本文件中。咱们在经常使用电脑的时刻，经常会运转一些黑客工具，但又怕被他人发现。比如咱们在网吧上网，为了能够收费上网，经常运转一些网吧治理软件的破解程序，但又怕被网吧治理员发现，这时经常使用HIDE就可以经过进程的ID来暗藏这个进程所蕴含的一切窗口，这样就可以明火执仗地在治理员眼皮底下干“坏事”。首先咱们经过系统的“义务治理器”获取进程的ID，而后在CMD下口头HIDE，它一共有两个差数启动选用，差数“1”示意暗藏进程的窗口，而差数“2”示意显示进程的窗口，这样用户就可以及时地暗藏相应的进程。 提示Monitor Waning怎样办 问：我最近配了一台P4电脑，驳回的是微星845 Pro的主板，但电脑每次启动时都会产生一个“Monitor Waning”的提示。按Esc键可以跳过，以后运转一切都反常。这究竟是怎样一回事？ www.sq120.com介绍答：这是由于主板的BIOS设置不当而造成的。首先须要弄明确“Monitor Waning”是什么意思，目前很多较新型号的P4主板都会提供一种所谓的“环境监测”性能，在这项性能中，有一项就是开机时智能对电脑的各名目的启动检测。假设电脑各项参数目的存在疑问的话，就会显示出相应的提示。在这些检测名目中的第一项就是电压检测，当电脑的电源输入电压高于BIOS中设置的数值时，就会产生上述的“Monitor Waning”提示。但是，此时提示的电压目的过高，并会不影响电脑的反经常常使用。处置该疑问的方法是开机后按Del键进入BIOS设置，而后参照主板说明书将外面的电源治理名目中的检测电压选项封锁，保留分开后就不会产生该提示了。From: