配置服務端
運行X_Admin木馬的客戶端程序,接著在上線列表中選擇鼠標右鍵中的“創建服務端”,在彈出的“X_Admin服務端創建”窗口進行配置。在“安裝路徑”裏面設置木馬服務端的安裝目錄,分別在“安裝名稱”和“DLL名稱”中設置服務端文件名和DLL文件名,然後在“註入進程”中設置服務端程序插入的進程。上面這些選項,程序已經為我們提供了多種選擇,尤其是“註入進程”不僅可以插入到IE和資源管理器進程,還可以插入到winlogon.exe、svchost.exe和GreenBrowser等進程,當然,這些選項也可以自定義進行設置。
現在在“網頁地址”選項中設置用於服務端程序反彈連接使用的連接信息,經過測試該木馬程序只支持網頁地址這壹種連接形式。針對不同的Windows系統,木馬采用了不同的啟動方式,比如針對Windows 9x系統還是采用傳統的註冊表啟動方式,而針對Windows NT/2000等系統就采用了目前主流的利用系統服務來啟動,如圖1所示。配置完成後點擊“生成”按鈕,就可以創建我們配置的服務端程序了。從中我們可以清楚地看到X_Admin在隱蔽性方面進行了大大的增強。
圖1
服務端控制
將剛剛配置生成的服務端程序傳給壹個朋友,在客戶端程序的“連接配置”中設置,點擊窗口中的“監聽”等待服務端程序的自動連接。很快,安裝在朋友系統中的服務端程序就連接成功了,接下來我們就可以利用鼠標右鍵中的控制命令進行操作了,如圖2所示。
圖2
“信息查看”命令可以查看到遠程計算機系統的基本信息,特別的是還可以查看遠程系統的網絡鄰居,這樣就可以對位於局域網中的系統進行更好的了解了,如圖3所示。如果網絡鄰居中有相關的***享內容的話,還可以進行更深壹層的控制操作。唯壹需要說明的就是,網絡鄰居檢測起來會比較慢,需要耐心的等待。
圖3
“文件管理”命令用於查看管理遠程計算機磁盤中的文件,點擊“獲取”可以獲取遠程磁盤的列表信息,可以從列表中選擇需要查看的磁盤信息內容,當然也可以在地址欄裏面直接輸入磁盤目錄的路徑。然後在文件目錄中對選中的文件進行遠程管理,包括上傳、下載、執行、刪除等基本的文件管理功能,如圖4所示。無論是上傳還是下載文件,都可以通過“傳輸信息”命令查看文件的傳輸過程。
圖4
“進程列表”命令可以查看遠程計算機系統中當前的進程情況,可以利用“刷新”不斷獲取最新的進程信息,如圖5所示。選擇右鍵菜單中的“列出模塊”,可以將每個進程中的模塊也壹起列出,從圖中我們可以看到服務端程序插入到的IE進程和模塊信息。通過“結束進程”命令我們隨時結束不需要的相關進程,方便我們更好的對遠程系統進行控制操作。
圖5
“終端服務”命令可以遠程執行大量的終端服務命令,這樣我們就可以利用系統自帶的命令對遠程系統進行更好的管理,比如查看遠程系統的端口運行狀況,如圖6所示。除此以外,我們知道很多後門程序都需要在命令提示符環境中運行,因此在“終端服務”窗口還可以對後門程序執行安裝運行等操作。
圖6
除了上面介紹的這些功能以外,客戶端程序還可以下載指定鏈接的文件,並且可以在系統後臺悄悄運行。它還可以支持屏幕截取、聲音錄制等功能,但是這些功能都需要插件提供支持操作。由於我沒有找到相應的插件,這些功能就留給大家測試吧。
小結
總的來說,X_Admin木馬最大的特點就是簡單易用。因為木馬除了基本的控制功能以外,並沒有增加其它壹些惡作劇這類花哨的功能。並且短小的服務端程序,很適合制作網頁木馬,再加上並沒有灰鴿子這樣大的名聲,因此免殺起來也是特別的方便快捷