清原長風

喜歡黑客技術(shù)的朋友，必定都經(jīng)常與木馬病毒打交道。雖然利用木馬病毒可以控制別人的電腦，偷窺別人的隱私……，但殺毒軟件可不是吃素的，它們個個都是見血封喉的主兒。別說國外了，光國內(nèi)厲害的殺毒軟件就有瑞星、金山和江民等一大票，木馬病毒“危在旦夕”呀!于是呢，我就成天琢磨著如何才能讓木馬病毒擁有強大的免殺能力。

生成木馬

經(jīng)過我的不斷摸索和實驗，終于找到一個讓木馬病毒免殺的好方法。這個方法很鮮活喲!我是以國內(nèi)知名的殺毒軟件最新版一一《金山毒霸2011》為例，對一個名為!上興”的木馬病毒進行免殺處理的。

首先，我下載并運行了“上興遠程控制4.9”，我要用它生成一個木馬服務端。然后，打開“配置服務端”窗口，我在這里的設置內(nèi)容如下(如圖1)。在最上端的IP地址框中，輸入本機的IP地址192.168.111.1(這是個內(nèi)網(wǎng)IP地址，因為我是在局域網(wǎng)里做實驗的)。當然還要跟上端口號，格式為“IP地址：端口號”，其他的“安裝名稱”、“安裝路徑”和“連接密碼”等都保持默認即可?！吧暇€分組”框中的文字我自定義為“過金山毒霸”，并勾選“本地正規(guī)運行”項。最后，點擊“生成服務端”按鈕，‘c上興”木馬服務端就創(chuàng)建成功了。

接下來，我把這個沒經(jīng)過任何免殺處理的木馬服務端文件放到一臺裝有《金山毒霸2011》的電腦中。結(jié)果，《金山毒霸2011》馬上就檢測到了它，并且立即將之刪除(如圖2)。當然，這樣的木馬被殺掉是屬于正常的事，要不然殺毒軟件公司就該去喝西北風了，隨后我還測試了《金山毒霸2010》，此木馬同樣被殺。

免殺處理

下面，我就開始對木馬服務端文件進行免殺處理。這里要用到y(tǒng)oda's Crypter 1.3這款小軟件。我需要做的，就是用鼠標將木馬服務端文件拖到這款小軟件的界面上，然后點擊“Protect!”按鈕即可(如圖3)。

這么簡單?沒錯!就是這樣簡單的一步，我就完成了“上興”木馬對《金山毒霸2011》的免殺工作。當然了，成不成功，我必須進行測試后才知道。

成功免殺

將經(jīng)過免殺處理后的木馬服務端文件再次拷貝到裝有《金山毒霸2011》的電腦中，用《金山毒霸2011))對它進行病毒掃描。結(jié)果，《金山毒霸2011》在掃描后居然沒有任何發(fā)現(xiàn)，認為它不是病毒(如圖4)!

看來快要成功了。為什么這樣說呢?這是因為我還要測試此木馬的各項功能是否都可以正常運行。只有通過這些測試，才能說明我的免殺方法是完美的。

我在裝有《金山毒霸2011》的電腦中運行這個木馬服務端文件，也就是讓它中毒。不到1秒鐘，我電腦上的客戶端程序就提示中毒的這臺電腦上線了……。此后，我不僅能看到它的系統(tǒng)桌面，還能對它進行各種控制操作，并且這一切都是在《金山毒霸2011》的實時監(jiān)控下明目張膽地進行的(如圖5)。

經(jīng)過我的全面測試，此木馬的功能完好無損，都可以正常使用。另外，我還測試了一下《金山毒霸2009》和《金山毒霸2010》，此方法都有效!

思考：嚴格來說，我只用了簡單一步，就實現(xiàn)了比較完美的木馬免殺，讓最新版本的殺毒軟件變成了聾子和啞巴。因此，我覺得殺毒軟件與木馬病毒的斗爭依然是頻繁和長期的，也就是“道高—尺，魔高一丈”的道理。本方法測試的《金山毒霸》病毒庫是2010年4月24日更新的，在測試的系統(tǒng)中還安裝了《金山衛(wèi)士》最新版，也沒有任何警告提示。電腦安全，任重而道遠……