• 2010-12-112010-12-11

    teamviewer制作免杀木马 - [电脑技术]

    Teamviewer是一款远程控制软件,“是一个能穿透内网的远程控制软件,是可以在任何防火墙和NAT代理的后台用于远程控制、桌面共享和文件传输的简单且快速的解决方案。”,因其直接支持内网与内网的连接而著名。
    Teamviewer官方版是没有任何木马的特征性质的,客户端大小为1.38M(根据版本的不同也会不一样)。官方正式版在每次连接时会弹出一个提示信息,提示有人连接电脑,根据设置还会弹出提示并询问是否接受连接,客户端也可随时结束会话。

    那么,如何伪装成木马呢?

    既然软件本身无木马性质,那么只好依靠辅助软件来实现。为了方便讲解,下面一起来了解一下木马都有什么特性。木马做为一种黑客性质的软体,第一点是要有隐蔽性;第二是顽强性;第三控制性。

    Teamviewer要实现隐蔽性,其实很简单。这里以Visual Basic为例(以下简称VB)。
    VB中可以轻易通过API函数隐藏运行中的软体的窗口,转以在后台悄悄运行,包括各种提示窗口等。

    实现顽强性相对会难一些,这个首先要能自启动,在VB中实现软体的自启动只需用语句写入注册表即可;然后是线程注入,这个是有一定难度的,对于初级程序员来说,可以暂时省却这一步(因为这一步只是增强生命力的措施,并不是必需的)。

    控制性也即木马主人能够从被控端取得需要的数据甚至控制它。实现这个首先需要用VB抓取Teamviewer的ID(ID在注册表中,直接从注册表中读取即可或者用VB抓屏的方式获取,只是这样要发送整个截屏图像,速度会较慢。),并用VB发到指定的邮箱中。因为Teamviewer连接密码可以通过官方的客户端定制中自行设定,所以密码是自己预先知道的,无需用软件获取。固定连接密码的方法我在上一篇博文中已经讲过了,这里不再赘述。

    好了,到此,一个新的木马已经诞生了,将他命名为ProsperTV木马(简称PTV)好了,只需将这些可执行文件包括TEAMVIEWER的客户端发至被控端并运行主程序;从邮箱中收取ID后,就能连接了,而且是在客户端毫无觉察的情况下,呵呵。
    当然,一个软件总有利弊,PTV木马很明显的一个缺点就是,文件体积过于庞大,单单一个Teamviewer4的被控端就有1.38M,这个是个让人头疼的问题,其实,也不是没有解决的办法,可以利用UPX加壳,只是不知道会不会被杀软报毒。

    好了,就说这么多,文件就不提供下载了,毕竟这个已经是木马了。

    分享到: