安装方法 不管是DLL还是EXE客户端最终都是通过RUNDLLEXE调用DLL本身内封装的不同的安装函数实现安装 并生成xinstalldll为安装日志的输出文件可在生成客户端的时候决定是否输出该记录到该文件 [注意下面所有的安装命令对大小写敏感切记!] 创建新的服务调用SVCHOSTEXE加载 安装命令 rundllexe xxxdllInstallSA 要添加的服务名称 安装说明 如果没有指定服务名默认将安装新的Irmon服务要安装的服务名必须是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下 netsvcs值里存在且没有创建的服务名如图 服务安装添加后通过启动服务的方式加载客户端DLL到netsvc这个组所属的svchostexe进程中去 特点 创建一个标准的微软认证的系统服务具有很好的可安装性和适应性 版本以后利用多种技术手段使得宿主服务实现了最隐蔽方式的启动类型和运行状态同时接受管理员的正确设置并显示出对应的正常响应而且XDOOR仍然工作正常 替换原有的服务调用SVCHOSTEXE加载 安装命令 rundllexe xxxdllInstallSB 要替换的服务名称 安装说明 如果没有指定服务名默认将替换Ntmssvc服务 如果原有的DLL仍处于加载运行状态下通过替换该服务的ServiceDll来实现服务替换 替换后服务后再通过线程插入的方式加载客户端DLL到进程中如果原有的DLL未处于加载运行状态下通过直接替换该DLL文件来实现服务替换替换后通过直接启动该服务来加载客户端DLL强烈建议替换未运行的服务而不是已经处于运行状态的服务 特点 相对比创建新服务的安装方式更具有隐藏性同时又保留了其特点 随机安装未安装的新服务调用SVCHOSTEXE加载 安装命令 rundllexe xxxdllInstallRSA安装说明 自动收集系统中未安装的由svchostexe加载的并属于netsvc组的服务并随机从中选择一个的服务进行安装 服务安装添加后通过启动服务的方式加载客户端DLL到netsvc这个组所属的svchostexe进程中去 特点 相对比创建新服务的安装方式更具有随机性同时又保留了其特点 随机替换原有的未启动的服务调用SVCHOSTEXE加载 安装命令 rundllexe xxxdllInstallRSB安装说明 自动收集系统中未启动的由svchostexe加载的并属于netsvc组的服务并随机从中选择一个服务进行替换 通过直接替换该DLL文件来实现服务替换替换后直接同过直接启动该服务来加载客户端DLL特点 相对创建新服务和替换原服务的安装比方式具有更强的随机性和过主动防御的特性 PE文件IAT表感染加载 安装命令 rundllexe xxxdllInstallPE 要感染的PE文件 [quiet/reboot]安装说明 如果没有指定EXE文件名默认感染conimeexe感染后默认通过线程插入的方式加载客户端DLL到被感染的进程 而下次机器重新启动后该DLL就成为该进程必需的DLL而随之启动 也可以通过指定以下两个不同的附加参数来实现特定的安装方式 quite 安静模式感染完毕后不执行线程插入只有重启计算机后才会生效 reboot 重启模式感染完毕后不执行线程插入直接重启计算机 可感染绝大部分的WINDOWS系统级进程和用户级进程但不是所有的EXE都有足够的IAT剩余空间来提供修改 修改成功后文件大小不变并可绕开WINDOWS的文件保护和WINXP(SP)/WIN(SP) 的文件执行保护 但各OS的情况并不相同需要区别对待且某些系统进程虽然可以感染成功但是可能导致系统无法正常启动进入 如smssexe csrssexe(切记!) 已知系统进程感染情况表 [WINK] lsassexe termsrvexe conimeexe spoolsvexe …… [WINXP(sp)] servicesexe lsassexe spoolsvexe conimeexe …… [WIN(sp)] servicesexe winsexe snmpexe conimeexe …… 特点 病毒加载技术具有超强的隐蔽性和过主动防御的特性 线程注入法(主要用于测试) 安装命令 rundllexe xxxdllInstallRT 要注入的进程名称 安装说明 该方法主要用于测试和辅助目的通过线程插入方式临时加载客户端DLL到目标进程中 特点 系统重启后或宿主进程结束后客户端DLL将被释放 卸载方法对应了以上的安装方法的卸载方法除方法外其他卸载方法都需要重新启动系统才能生效 同时由于方法的客户端DLL强制卸载的不稳定性容易导致进程或系统崩溃不建议使用 rundllexe xxxdllUnintallSA 要删除的服务 rundllexe xxxdllUnintallSB 要修复的服务 rundllexe xxxdllUnintallRSA rundllexe xxxdllUnintallRSB rundllexe xxxdllUninstallPE 要修复的被感染EXE文件(或DLL文件) rundllexe xxxdllUnintallRT 要卸载客户端DLL的进程 版本以后增加了在控制端对被控端进行智能判断并直接卸载的功能建议直接在控制端使用该功能进行卸载 [卸载后被控端自动下线但必须重起才能彻底生效在重起前不要使用相同的安装方式重复安装!] |