牧馬人

吃過晚飯以后，朱堅(jiān)強(qiáng)和平常一樣，打開電腦上網(wǎng)閑逛。當(dāng)然，還少不了打開木馬的客戶端程序，看看今天又有多少“肉雞”回到了“雞窩”。其實(shí)，朱堅(jiān)強(qiáng)并不是大家所說的黑客，他僅僅是對黑客技術(shù)有一點(diǎn)興趣而已。平時(shí)，他最大的愛好就是遠(yuǎn)程偷窺坐在被控制電腦面前的MM，并且獲取其QQ號(hào)，與之進(jìn)行一番神聊。

老白指點(diǎn)迷津

最近朱堅(jiān)強(qiáng)發(fā)現(xiàn)，回到“雞窩”里的“肉雞”是越來越少，雖然他每天都很勤奮地捕捉新的“肉雞”，但還是有一種“入不敷出”的感覺。于是，他去找自己的同學(xué)老白訴苦。老白聽后，同情地對他說：“堅(jiān)強(qiáng)呀，盡管現(xiàn)在木馬的功能都很強(qiáng)，但是面對各種各樣的安全軟件，還是有些力不從心啊！”朱堅(jiān)強(qiáng)不解地問：“可我的木馬程序都是經(jīng)過免殺處理的呀？”老白一邊搖頭一邊回道：“當(dāng)前殺毒軟件采用的技術(shù)可謂多種多樣，除了常見的特征碼殺毒以外，還有什么啟發(fā)式、主動(dòng)防御等，這些綜合起來實(shí)在讓人防不勝防?。　敝靾?jiān)強(qiáng)聽了，有點(diǎn)著急：“那怎么辦，就沒有辦法了嗎？”老白摸著自己寸草不生的頭說：“誰說沒有辦法？我們且不說‘機(jī)器狗這種可以破壞硬件還原卡的病毒，就連以前的‘熊貓燒香和‘AV終結(jié)者等病毒也可以把殺毒軟件折騰得夠嗆。告訴你啊，現(xiàn)在我們還可以利用工具軟件，讓它搶在木馬入侵前就破壞掉用戶系統(tǒng)中的殺毒軟件，這樣木馬入侵后就能順利地運(yùn)行了。你說，這方法怎么樣？走，到你那兒去，我教你。”

《煽動(dòng)者》顯威力

坐在朱堅(jiān)強(qiáng)的電腦前，只見老白插入了隨身的閃盤，從中打開一款叫《煽動(dòng)者》的小軟件（有技術(shù)研究興趣的讀者，可以在網(wǎng)絡(luò)上搜索下載）。這款軟件本來是德文的，后來有網(wǎng)友簡單地漢化了一下。首先，在主界面上的“煽動(dòng)者名稱”和“另存為”選項(xiàng)中，設(shè)置生成文件的名稱和存放的路徑（如圖1）。這里老白將“煽動(dòng)者名稱”設(shè)置為pcd（小編插話：pcd字樣用在這里，總覺得怪怪的），存放路徑保持默認(rèn)不變。然后，勾選“殺行動(dòng)”中的所有選項(xiàng)，通過它們就可以關(guān)閉系統(tǒng)的安全設(shè)置和干掉常見殺毒軟件的進(jìn)程。由于這是一款國外軟件，所以它默認(rèn)針對的殺毒軟件也全是國外的，不過我們可以進(jìn)行編輯。

在“額外的命令”中可以輸入各種命令：輸入“ping 127.0.0.1”可以延長命令的執(zhí)行，為破壞殺毒軟件提供充足的時(shí)間；輸入“tskill Ravmond.exe”命令就可以結(jié)束《瑞星殺毒軟件》的監(jiān)控進(jìn)程。在“特別功能”中點(diǎn)選“主動(dòng)傳播”，這樣生成的文件就具備了主動(dòng)傳播的特性。最后，在“運(yùn)行”中選擇“標(biāo)準(zhǔn)”選項(xiàng)，設(shè)定需要運(yùn)行的木馬（當(dāng)然還可以設(shè)置一個(gè)用于迷惑用戶的偽裝文件，比如圖片文件、音頻文件等）。設(shè)置完成以后，點(diǎn)擊“生成”按鈕即可。

通殺國產(chǎn)殺毒軟件

文件創(chuàng)建成功后，發(fā)現(xiàn)生成的竟然是一個(gè)pcd.bat批處理文件。這樣也好，便于我們修改。用記事本打開這個(gè)批處理文件可以看到，它主要是通過結(jié)束殺毒軟件的服務(wù)或進(jìn)程來保護(hù)木馬入侵的。雖然在前面添加的是一句結(jié)束《瑞星殺毒軟件》進(jìn)程的命令，但我們可以在代碼中，針對其他的國產(chǎn)殺毒軟件進(jìn)行新的命令添加，譬如“tskill KAVStart.exe”就可以結(jié)束《金山毒霸》的進(jìn)程。同時(shí)，也可以添加停止啟動(dòng)服務(wù)的代碼，比如“net stop KWatchSvc”就可以停止《金山毒霸》的實(shí)時(shí)監(jiān)控服務(wù)。當(dāng)然，最好再多復(fù)制幾行“ping 127.0.0.1”代碼，從而保證各種命令有充裕的執(zhí)行時(shí)間（如圖2）。

批處理文件在運(yùn)行的時(shí)候，會(huì)調(diào)用系統(tǒng)的命令提示符窗口來執(zhí)行命令，而這些彈出的窗口必然會(huì)引起別人的懷疑。加用腳本文件，就不會(huì)有這個(gè)問題出現(xiàn)了。用記事本新建一個(gè)空白文本，輸入下面的內(nèi)容，然后“另存為”kill.vbs。Set ws = CreateObject(“Wscript.Shell”)ws.run “cmd /c pcd.bat”,vbhide

現(xiàn)在用鼠標(biāo)將pcd.bat批處理文件、kill.vbs腳本文件、木馬文件和偽裝文件全部選中，點(diǎn)擊鼠標(biāo)右鍵菜單中的“添加到壓縮文件.rar”命令，生成一個(gè)RAR格式的壓縮文件。下面再將它轉(zhuǎn)換成EXE自解壓文件。用WinRAR打開這個(gè)壓縮文件，依次點(diǎn)擊工具欄上的“自解壓格式”→“高級(jí)自解壓選項(xiàng)”→“常規(guī)”標(biāo)簽，在“解壓路徑”中填入自解壓后的文件存放目錄（例如：%systemroot%，表示解壓到系統(tǒng)目錄中），在“解壓后運(yùn)行”中輸入腳本文件kill.vbs（如圖3）。

在最后，老白運(yùn)行了一款叫《WinRAR自解壓完美免殺補(bǔ)丁》的小軟件。點(diǎn)擊其“應(yīng)用”按鈕選擇剛剛創(chuàng)建的自解壓文件，它就會(huì)自動(dòng)為自解壓文件添加免殺功能（如圖4）。OK，大功告成！老白對朱堅(jiān)強(qiáng)說道：“好了！你看，當(dāng)這個(gè)具有免殺功能的自解壓文件在用戶電腦上運(yùn)行后，其中的腳本文件就會(huì)調(diào)用批處理文件，而批處理文件中的代碼就會(huì)依次執(zhí)行，從而干掉殺毒軟件的進(jìn)程和終止殺毒軟件的服務(wù)。當(dāng)殺毒軟件都被處理得差不多時(shí)，木馬才開始在系統(tǒng)后臺(tái)運(yùn)行。這樣沒有了殺毒軟件的干擾，你想干啥就干啥！”