捆绑后门骚操作

winrar实现捆绑免杀后门

1.首先cs生成一个后门

2.将后门qq.exe和flash安装程序添加到压缩文件,点击创建自解压格式压缩文件。rar就会变成exe后缀的文件。

3.点击高级自解压选项，常规，解压路径->绝对路径

C:\windows\temp

4.设置，提取后运行

C:\windows\temp\qq.exe

C:\windows\temp\flashplayer_install_cn.exe

5.模式

安静模式->全部隐藏

6.更新

更新方式->解压并更新文件

覆盖方式->覆盖所有文件

7.点击确定按钮，在点击确定按钮生成"Desktop.exe"

8.修改文件名为flashplayer_install_cn.exe。这时候已经可以使用了，只是太丑。另一个神器出现“ResourceHacker”。

通过ResourceHacker打开原版的flash安装程序，点击Icon Group文件夹中的文件，鼠标右键保存“*.ico资源”，即可导出ico图标。

9.相同操作，右键replace icon，将刚保存的icon替换,然后保存

 

左边是原来的，右边是改过图标后

 

查看属性，检查下，还是有点瑕疵的。放入192.168.41.128靶机中测试

 

 

测试

这里用模拟用钓鱼页来诱导下载

 

双击运行，首先运行的是后门，所以提示无法验证发布者。然后会提示正常的flash安装程序，并且正常执行。非常的隐蔽。

可以看到，当点击第一个运行时候，win7攻击机已经收到了shell

 

查看靶机的任务管理器可以看到后门程序伪装成qq

 

放到我的win10机器上，火绒开着，扫描没发现风险

第一次运行没有提示，取消了。第二次运行才提示了爆毒。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

文章连接：

https://www.baikesec.com/webstudy/still/77.html

https://mp.weixin.qq.com/s?__biz=MzI5MDU1NDk2MA==&mid=2247488212&idx=1&sn=903f89bacf3bd2a12af96099710fac3e&chksm=ec1f47ebdb68cefd76659efc1f29113240dbbbba96708e2207cb2cb756fd493d9578aa32ea3f&mpshare=1&scene=23&srcid=&sharer_sharetime=1576056802040&sharer_shareid=2fff7876c555b5e74be216af3551e2b9#rd