利用WMI打造完美“三无”后门-终焉

来源:菠萝的菠萝格

Welcome!各位ScriptKid,欢迎来到脚本世界。

今天给大家带来这个连载的最后一篇。

通过前面的几篇连载,有一定脚本编写功底和WMI技术知识的同学经过一定的修改,其实已经可以实现我们的这个无进程,无文件驻留,无端口的后门以及 前面所说的下载者,U盘识别和感染等等功能。当然了,如果想真正实现对后门的控制,你还要有一个WEB SERVER以及一个管理端。如下图:

WMI的ASEC给我们提供了一个很好的方法来非常隐蔽的执行设定的脚本。而利用vbscript本身,WMI以及OFFICE VBA提供的各种强大的功能,加之赋予我们的system权限,我们很容易在其基础上实现对windows的全面管理。例如在之前的《“鲜为人知”的SendWindowMessage》 中提到的SendWindowMessage就给我们的脚本赋予了发送windows窗体消息的能力,也就是赋予了我们控制所有windows窗体的能 力:)我们也可以通过脚本生成二进制文件,也可以调用目标机的指定控件,我们还可以欺骗windows安全中心等等等等。

总之这里我只是抛砖引玉,广大的脚本高手们一定可以写出更有趣,更实用的功能。这里也给反病毒反木马的同学们提出了一个挑战,如果这样一个“三无” 后门,如何才能查杀?特征很多,例如ASEC的安装,例如scrons.exe的调用,事件与消费者的绑定等等。但是隐藏的技巧相信也有不少,另外,我这 里写出的是没有经过任何的代码变形,没有做任何的隐藏技巧的纯脚本。

前面所提到的所有功能的脚本代码,整理好后我会放在本篇Blog中提供下载。当然了,前面也说过了,你需要一定的修改和配置、一个web server以及一个管理端,而不是前面几篇连载代码的简单拼凑,才能实现一个真正的具有前述功能的脚本后门。

感谢各位看官的耐心。本篇连载到此结束。下次scriptkids栏目会给大家带来《2006年,一个超级mail蠕虫的诞生》

相关日志

发表评论