国外的强大木马Bandook.docxVIP

国外的强大木马 Bandook 国内常用的一些远程控制软件，诸如灰鸽子、黑洞、 PcShare 等，在杀毒软件的眼中早已经是“过街的老鼠， 人人 喊打”了，这也使得它们在免杀的制作上也是越来越难， 免杀 一个服务端就要修改三四十处的特征码，这简直就是在考验 大家们的耐性啊！为了寻找到使用简单，稳定安全的远控程 序，我特地跑到国外的黑客论坛转了一圈，终于找到了一款 看上去非常强大的远程控制木马。以下就是这位来自于国外 的木马 bandook 的一段自我介绍：我的父亲是 C++ ，而我 的母亲是 Delphi ，我就是由它们混台在一起而诞生的，由于 我是来自于一个比较混合的民族，因此巴黎人就把我称作了 bandook ，这也就是我名字的由来。 介绍的还挺有意思的吧， 不过相信许多人在初次见到这款国外的远控程序时，心里难 免会产生畏惧和排斥的心理，因为它是全英文界面的。不过 话又说回来，这些英文单词都是固定不变的，所以只要我们 认清和牢记它们所对应的中文意思就可以熟练的操作了。我 们还是先来配置一个服务端程序吧，点击最上方的第二个选 项“ Create ”，就会弹出服务端配置窗口了。这是一个反弹上 线式，所以在前两个选项中我们就填写反弹的 IP 地址或者域 名，可以是静态 IP 地址，也可以是动态域名， 比如 3322.reg 。 一共可以设置三个， 这样即使某个 IP 地址失效了， 我们也不 用担心肉鸡会丢失。下面的“ Installation Location ”表示我们 的木马文件安装保存在哪个目录下，可以是系统根目录，也 可以是其他的目录。 右边的“ File Name ”就是木马安装保存的 文件名，我们可以使用一些带有迷惑性的名字，但必须要确 保后缀名是 exe 。“ Port ”也就是大家所熟知的木马上线端口了， “ SREVER ID”是用户标识，可以自定义更改，“ IM SPY DELAY”是即时信息间谍的延迟时间，这是针对一些国外聊 天程序所设计的，我们一般用不到它。“ HKCU Startup Key ” 和“  ActiveX Startup Key  ”都是木马的启动键设置，“  Rootkit DLL URL”可以填写我们已经预先上传到空间中的  dll  木马文 件，同时别忘了把下面  Rookit  的选项打上勾，其中“  NO Startup ”是没有自启动，“ SDTRESTORE”是系统服务描述表 恢复，“ Offline IM Spy ”就是离线即时信息间谍，这个对国内 用户没多大用处，所以建议其它的选项使用默认的就可以了。 全部设置完毕后， 我们点击下面的“ Creat ”按钮就可以直接在 客户端目录下生成一个 96K 没有压缩的 bandook 服务端程 序了，会制作免杀的朋友就可以直接进行加壳免杀了！现在 返回到 bandook 的客户端界面上来，左上方的“ Port List ”是 端口列表的意思， 它支持多端口上线， 这也是 bandook 的特 色之一，好像国内的远控程序还没有这个功能吧。客户端程 序在被打开后不会自动监听端口，必须由我们亲自给它配置 上线端口，可以在“ Port List ”的窗口中点击右键并选Add择 来添加一个上线端口。接下来我们还需要激活这个上线端口， 点击最上方“ Socket ”选项下的“ active ”就可以了，我们从右下 方的 socket status （ socket 的状态） 也能判断出该端口是否 已经被激活。 现在，就可以耐心的等待肉鸡来上线了， 这不， 立马上来了一个。我们选中上线的肉鸡点击右键后就会惊异 的发现，在外表如此简单的 bandook 身上居然会有如此多的 功能，下面就由我给大家们来慢慢的解说一番吧！对了，有 一点大家必须注意，这个国外木马的某些功能需要激活，我 们可以留意下左下方的一些信息。凡是显示 NO 的，其对应 的功能都是没有被激活的，但是这个问题好解决，我们可以 直接在肉鸡上点右键选择“ Plugins ”，然后选择所需要激活的 选项，比如“ Utilities Plugin ”，最后还需要选择“ Direct Install 就行了，千万不要选错哟。“ File Manage ”为文件控制，通过 它我们可以任意浏览、下载、删除对方电脑上的所有文件， 不过在浏览对方电脑上的文件时要先在空白区点右键选择 “ get drivers ”获取对方电脑上的盘符然，后才能进行下一步的 操作。当我们想上传程序到远程电脑上时，还可以通过 Ftp 途径上传，但前提是自己必须要拥有一个 FTP 空间，“ Rar File ” 是打包对方电脑上的文件以方便我们下载，“ ShellExe