用到的工具:
1.Quick CHM2.6简体中文版(也可以用Microsoft HTML Help WorkShop1.3代替)
2.EbookWorkShop
3.UnEbookWorkshop
内容:
随着当今网络媒体的普及,人们获得各种知识的渠道变的多种多样,
CHM和EXE电子书木马的制作病毒防范
。而几乎每种媒体的传播,都可以被我们所利用。经过我们的改造就可以让他们成为为我们传播木马的工具。像Real媒体木马,wmv挂马、swf挂马、BT挂马、迅雷挂马等早就为我们所常用的木马传播方式。而电子书的普及,也为我们打开了另外一条木马传播的有效途径。应当说,现在利用电子书进行挂马的“前途”是比较广阔的。一般人们很少对它进行防范,另一方面,也因为对它的检测往往比较费时费事,所以即使是经常使用电脑的老鸟也会对它疏于防范。这就给我们以可乘之机。
电子书目前来说,在网上流传的大概可以分为两类:
一类是以chm格式结尾的电子书(像Windows的帮助文件,各种软件的帮助文件等大多数都是这种格式的)另一种格式是exe格式的(电子版的小说,杂志等多以此种格式为主)。一般是链接到网页上。下面我们就来分别看看这两种方式的电子书如何被我们所利用进行挂马。
首先我们来看一下如何打造CHM格式的电子书木马:
大体思路是:
利用自己制作的或者网上现成的chm电子书,把它反编译后加入我们的木马文件。这里需要提一下,我们制作的chm格式的电子书,所要的木马是exe格式的。那有什么特殊要求呢?既然是EXE格式的木马,那我们再事先制作的时候就最好找一款免杀的木马或者自己对服务端进行免杀、并且我们说木马文件不宜过大,运行后不要显示运行界面。只有这样才能不被中马者怀疑或发现。继续回来,我们把反编译后的木马文件加入我们的木马后门,再把他们从新编译成电子书。这里,Microsoft HTML Help Workshop和Quick CHM这两款软件都可以达到我们的目的。
首先运行QuickCHM2.6,然后我们选择菜单下的“反编译”,定位要反编译的CHM电子书和要输出的路径(最好放在一个单独的文件夹下),然后点击确定。打开我们的输出文件夹,可以看到里面有很多的反编译后文件。其中有三个文件,分别为 xx.hhp,xx.hhc,xx.hhk分别是工程文件、目录文件和索引文件。
然后我们打开电子书文件,找到主页文件再找到对应的反编译后的文件。准备好要加入的木马文件例如 muma.exe,把它也复制到这个反编译的文件夹中。再在这个文件夹下新建立一个文本文件,输入以下内容:
引用内容
并把保存后的文件另存为 123.htm
再用记事本打开这个工程文件 xx.hhp,里面有“[OPTIONS]”、“[WINDOWS]”、“FILES”三项内容,我们需要在“[WINDOWS]”里面添加刚才新建的文件123.htm,在“[FILES]”里添加123.htm和muma.exe,
电脑资料
《CHM和EXE电子书木马的制作病毒防范》(https://www.unjs.com)。然后按原文件保存。通过以上的修改,我们再把它从新编译成chm格式的电子书。方法是双击工程文件xx.hhp,然后选择菜单中的“编译”就可以在这个文件夹下生成了新的chm电子书文件。这时我们在双击打开这个chm电子书文件,就会运行我们刚才绑定的muma.exe可执行文件了。
EXE电子书木马的制作:
EXE格式的电子书现在也比较流行。他们一般都是由一些网页文件和图片文件编译而成的。我们只需要在它的默认主页上挂上网页木马就可以了。用到的工具是E书制作工具EBookWorkshop和对应的反编译工具UnEbookWorkshop。
首先我们使用UnEBookWorkshop将下载的电子书编译到指定的目录,然后找到里面的默认主页文件。我们假设为 index.htm。那么我们只需要在index.htm文件下挂马即可了。使用记事本打开 index.htm文件。然后在里面加入挂马语句,按原文件保存。再使用EbookWorkshop把反编译目录下的文件做成电子书。制作步骤如下:
1.载入文件,点击右边的文件夹,选择反编译目录,将里面的所有文件载入
2.设置目录,单击左侧的“目录”标题,进入目录界面,选择“从文件夹创建”即可。
3.设置工具栏和界面,根据原来电子书的内容进行设置
4.编译,选择输出的路径和保存的文件名就可以生成exe格式的电子书了。
总结:
两种电子书挂马效果的对比:CHM的成功率远高于EXE格式电子书,因为EXE格式终归是利用的网马的原理。但是从现在网上流传的电子书来看,EXE格式的更受欢迎,应用更广泛。