黑客如何给你的系统种木马(2)

　　就像前面提到的，黑洞2004在生成服务端的时候，用户可以更换图标，并使用软件UPX对服务端自动进行压缩隐藏。 

　　2.捆绑服务端 

　　用户通过使用文件捆绑器把木马服务端和正常的文件捆绑在一起，达到欺骗对方的目的。文件捆绑器有广外文件捆绑器2002、万能文件捆绑器、exeBinder、Exe Bundle等。 

　　3.制做自己的服务端 

　　上面提到的这些方法虽然能一时瞒过杀毒软件，但最终还是不能逃脱杀毒软件的查杀，所以若能对现有的木马进行伪装，让杀毒软件无法辨别，则是个治本的方法。可以通过使用压缩EXE和DLL文件的压缩软件对服务端进行加壳保护。例如1中的UPX就是这样一款压缩软件，但默认该软件是按照自身的设置对服务端压缩的，因此得出的结果都相同，很难长时间躲过杀毒软件；而自己对服务端进行压缩，就可以选择不同的选项，压缩出与众不同的服务端来，使杀毒软件很难判断。下面我就以冰河为例，为大家简单的讲解一下脱壳（解压）、加壳（压缩）的过程。 

　　如果我们用杀毒软件对冰河进行查杀，一定会发现2个病毒，一个是冰河的客户端，另一个是服务端。使用软件“PEiD”查看软件的服务端是否已经被作者加壳，可以看到服务端已经使用UPX进行了压缩。 
　　现在，我们就需要对软件进行脱壳，也就是一种解压的过程。这里我使用了“UPXUnpack”，选择需要的文件后，点击“解压缩”就开始执行脱壳。 

　　脱壳完成后，我们需要为服务端加一个新壳，加壳的软件很多，比如：ASPack、ASProtect、UPXShell、Petite等。这里以“ASPack”为例，点击“打开”按钮，选择刚刚脱壳的服务端程序，选择完成后ASPack会自动为服务端进行加壳。再次用杀毒软件对这个服务端进行查杀，发现其已经不能识别判断了。如果你的杀毒软件依旧可以查杀，你还可以使用多个软件对服务端进行多次加壳。笔者在使用Petite和ASPack对服务端进行2次加壳后，试用了多种杀毒软件都没有扫描出来。现在网络中流行的很多XX版冰河，就是网友通过对服务端进行修改并重新加壳后制做出来的。 

　　为了避免不熟悉木马的用户误运行服务端，现在流行的木马都没有提供单独的服务端程序，而是通过用户自己设置来生成服务端，黑洞2004也是这样。首先运行黑洞2004，点击“功能/生成服务端”命令，弹出“服务端配置”界面。由于黑洞2004采用了反弹技术（请参加小知识），首先单击旁边的“查看”按钮，在弹出的窗口中设置新的域名，输入你事先申请空间的域名和密码，单击“域名注册”，在下面的窗口中会反映出注册的情况。域名注册成功以后，返回“服务端配置”界面，填入刚刚申请的域名，以及“上线显示名称”、“注册表启动名称”等项目。为了迷惑他人，可以点“更改服务端图标”按钮为服务端选择一个图标。所有的设置都完成后，点击“生成EXE型服务端”就生成了一个服务端。在生成服务端的同时，软件会自动使用UPX为服务端进行压缩，对服务端起到隐藏保护的作用。