见缝插针 伪造木马——RobinPE

将木马后门与图片或程序伪装捆绑在一起，诱使别人打开图片或执行程序，从而在后台悄悄运行木马后门，这是一种常见的木马植入手段。图片木马制造机、EXEBind等，各种各样木马捆绑合并工具大家都见得很多了，使用这些木马捆绑工具虽然可以有效地对木马进行伪装，但是面对嗅觉灵敏的杀毒软件和警惕性安全性日趋提高的上网者来说，这些捆绑工具难免会暴露一些缺点。比如，宿主文件大小在捆绑木马后会发生变化，对于一些体积较大的木马，捆绑后的文件体积变化尤其明显，稍微细心些的用户就很容易识破这种捆绑手段。

有没有隐藏性更高一些的木马捆绑工具呢？是否可以在捆绑了木马后让宿主文件体积不发生变化呢？最新的木马后门植入工具RobinPE，可以将后门文件藏匿在任意的EXE程序文件中，以后每次正常启动程序文件时，我们植入的文件就会悄悄的生成并执行，最重要的是植入木马后宿主文件的大小基本不发生变化。下面就以笔者的使用经历为例，向大家介绍一下这个工具的使用吧！

 

一、准备植入木马

首先是利用系统漏洞，溢出得到了一台主机Local System权限的Shell，然后克隆管理员帐号，清除了杀毒软件之类的文件上传障碍。其具体过程就不再详述了，下面主要是讲述如何将木马植入Explorer.exe进程中，再将其上传到远程主机上执行并进行控制。

首先需要在本地将木马植入Explorer.exe文件中，这里我们使用一个叫作“Fuck Trojan”的木马，并将对服务端程序“Server.exe”加壳处理以躲过杀毒软件的查杀。备份“Explorer.exe”文件，然后运行工具RobinPE。

二、计算空间——木马植入前的关键

使用RobinPE在正常程序中植入木马后，有一个特点就是程序将保护原来的体积大小不发生变化，从而不易被查觉。其原理就是在植入前先执行计算程序文件可利用的空间，将后门木马植入缝隙而不额外增加代码区块，因此文件的大小不会发生变化。在植入程序前，首先需要计算程序可利用空间，根据计算后得到的结果才能确定可否植入。

打开RobinPE后，点击界面右下角处的“整体植入”按钮，在“后门文件”项中点击浏览选择刚才的木马服务端文件“Server.exe”；然后在“整体植入”中浏览选择备份的“Explorer.exe”文件（如图1）。点击“计算空间”按钮，即可开始计算宿主文件“Explorer.exe”中剩余的空间，对比木马文件“Server.exe”的大小，判断是否可以将文件植入宿主文件中。从最后的计算结果中我们可以看到，木马文件共有“177664”字节，而宿主文件中仅剩下了26531个字节空间，因此该木马显得太大，不能植入Explorer.exe文件中（如图2）。

图1

图2

三、化整为零，分体植入法

怎么办呢？可以换一个体积较小的木马服务端文件，或者更换宿主文件。不过我选的这个木马感觉比较好用，而且不易被查杀，同时Explorer.exe又是一个最佳的木马后门藏身之所，每次系统启动都必须运行这个进程，从而保障了木马能可靠地被执行，因此我打算使用RobinPE的另一种木马植入方法。

刚才使用的“整体植入”，是将木马文件全部植入一个EXE文件之中；而分体植入则是将一个文件拆解植入到多个文件里，这样就保证了木马文件有足够的存放空间。

1.设置多个宿主文件

点击界面右下角的“分体植入”按钮，切换到分体植入界面中（如图3）。在“分解植入”项中点击“添加”按钮，添加多个宿主文件到中间的列表框中。添加完毕后，点击“计算空间”即可计算所有宿主文件总的剩余空间，对比木马文件大小以判断是否能够植入。可以选择添加8个宿主文件，要求所有宿主文件都位于同一目录中，并且在植入后不能将宿主文件随意改名。在这里选择了与Explorer.EXE位于同一目录下的“hh.exe”、“winhelp.exe”等几个文件。

图3

小提示：为了不破坏本地的程序文件，可将这几个宿主文件复制备份到另一文件夹下进行。

 

2.设置启动文件

在宿主文件列表框中，选择其中一个宿主文件“Explorer.exe”，然后点击右边的“设为启动”，此宿主文件将被作为主启动文件。木马文件还原代码和数据表都将植入到这个文件中，以后只要运行宿主文件，该文件就会自动将分解在各宿主文件中的木马组合还原成完整的程序，并自动执行。

设置完毕后，点击“开始植入”按钮，即可开始将木马服务端程序“Server.exe”文件分解植入到“Explorer.exe”等几个文件中了。

[1] [2] 下一页