(2.1)【经典木马-Sub7】原理、使用

最新推荐文章于 2024-10-04 17:17:09 发布
最新推荐文章于 2024-10-04 17:17:09 发布
阅读量583 收藏 3
点赞数 1
分类专栏: # 木马 文章标签: web安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/125698581
版权

目录

一、简介:

1.1、简述:

1.2、下载:

渠道一:

渠道二:

二、原理

2.1、植入:

NODLL.EXE

SERVER.EXE 或 KERNEL16.DL 或 WINDOW.EXE

WATCHING.DLL or LMDRK_33.DLL

2.2、木马与操作系统“挂接”

三、使用

第一步:配置服务器端程序

第二步用客户端控制服务端

一、简介:

1.1、简述:

Sub7是一个基于Windows 9x的特洛伊木马,当该木马运行的时候,它能够通过Internet向运行相应客户端软件的黑客提供染毒机器的所有访问权限

木马名称和别名:Sub7,SubSeven,BackDoor-G

和冰河一样,它可以远程控制其它计算机,可用于违法活动(例如盗号、信用卡密码)。

以Sub7 2.2为例,由4个主要文件组成, 分别为: Server .exe(服务器端程序),E ditserv er.exe(配置服务器端程序),Sub7.exe(客户端控制程序)和Sin.exe(在线监听程序)。其他的Menu.cfg、Pages.cfg、S7config. cfg均为配置文件,Icqmapi.dll为Sub7通过ICQ通知客户端功能的插件

1.2、下载:

渠道一:

Sub7 Legacy (sub7crew.org)icon-default.png?t=M666https://www.sub7crew.org/project/

渠道二:

Download: Subseven.2.2.zip ≈ Packet Storm (packetstormsecurity.com)icon-default.png?t=M666https://packetstormsecurity.com/files/download/29582/Subseven.2.2.zip

二、原理

2.1、植入:

该木马将向系统的Windows、Windows\system目录下安装3个文件:

NODLL.EXE

该文件被安装到Windows文件夹下,用来安装服务器端主程序。

它是从WIN.INI文件的 'run='行被调用的。该文件被定义为BackDoor-G.ldr。

SERVER.EXE 或 KERNEL16.DL 或 WINDOW.EXE

该文件被安装到Windows目录下,它是该木马主要负责通过Internet 接收并执行从客户端软件传来的命令。该文件被定义为BackDoor-G.srv。

这个程序通常是用户收到的第一个文件,在这个文件中包含其他两个文件的副本。

WATCHING.DLL or LMDRK_33.DLL

该文件被复制到Windows\system目录中,它是被木马的服务器端程序用来监视与客户端软件进行的网络连接。它被定义为BackDoor-G.dll。

2.2、木马与操作系统“挂接”

1、在WIN.INI文件的[Windows]部分的"run="行添加该木马的服务器端主程序;

2、在SYSTEM.INI文件的[boot]部分的"shell"行的末尾添加该木马的服务器端主程序;

3、添加注册键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

4、通过改变注册键值来改变操作系统运行EXE文件的方式

HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)

将值从原来的""%1" %*" 改为 "mueexe.exe "%1" %*"

这样将导致每次操作系统要执行EXE文件的时候都先运行木马的安装程序,然后安装程序运行服务器端的主程序(如果还为运行),最后才运行系统想要执行的EXE文件。

该木马同样更改注册键使得扩展名为.dl的文件能够在系统运行EXE文件时也被执行,这样就使攻击者能够往染毒机器中下载文件并运行。由于扩展名不再反映可执行文件,所以一些反病毒软件不能扫描到它们,系统也不能将他们悬挂。

三、使用

第一步:配置服务器端程序

运行Editserver.exe, 可以看到服务器端的配置,全部都列在左边, 共8个选项,分别为服务器设置、启动方式、通知、捆绑文件、插件、限定、E-mail、Exe图标/其他。

就不登录了

第二步用客户端控制服务端

黑色地带(崛起)
关注
专栏目录
Web应用安全攻防
AI天才研究院
08-03 1182
随着互联网的普及和应用的日益扩张,网络应用越来越成为各行各业中普遍存在的现象。作为互联网世界的重要组成部分,网络安全在对抗各种攻击、防御方面发挥了越来越重要的作用。而对于网络应用的安全管理和维护,更是成为各类安全人员的必备技能。在互联网应用安全领域,许多著名的黑客组织、安全公司都提供了大量的学习资料、工具和课程。然而,为了更好地掌握这些知识、工具和方法,我们应该更加关注其背后的原理、算法和技术,为我们的工作提供一个系统的、全面的和有效的解决方案。
2021-6月面试总结-vue,uniapp,小程序,h5,更新中
m0_67266787的博客
02-24 792
**一、**vue 2.6.11 vue****页面的生命周期? 总共分为8个阶段创建前/后,载入前/后,更新前/后,销毁前/后。 创建前/后: 在beforeCreate阶段,vue实例的挂载元素el和数据对象data都为undefined,还未初始化。在∗∗created∗∗阶段,vue实例的数据对象data有了,el和数据对象data都为undefined,还未初始化。在**created**阶段,vue实例的数据对象data有了,el和数据对象data都为undefined,还未初始化。在∗∗cre
特洛伊木马程序_历史著名的特洛伊木马计,希腊的人造礼物
weixin_39781452的博客
12-17 517
"攻其不备,出其不意。"说的就是这场战役了。希腊人和特洛伊人之间发的战争开始了。希腊人联合起来攻打特洛伊城,但特洛伊城是个十分坚固的城市,希腊人攻打了9年也没有打下来。第10年的一天早晨,希腊联军的战舰突然扬帆离去,平时喧闹的战场变得寂静无声。特洛伊人以为希腊人撤军回国了,他们跑到城外,发现海滩上留有一个巨大的木马。特洛伊人惊讶地围住木马,不知道这木马是干什么用的。一个被他们捕获的希腊人告诉特洛伊...
木马程序(病毒)
m0_49025459的博客
01-28 3017
"特洛伊木马"(trojan horse)简称"木马",据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将"木马"作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为"特洛伊木马"。
探索SubSeven:新一代远程访问木马工具的解构与应用
gitblog_00054的博客
04-17 523
探索SubSeven:新一代远程访问木马工具的解构与应用 SubSevenSubSeven Legacy Official Source Code Repository项目地址:https://gitcode.com/gh_mirrors/su/SubSeven 在信息安全领域,远程控制软件常常被用于合法的系统管理和技术支持。然而,也有一些恶意的远程访问木马(RAT)被滥用以非法侵入和控制他人计...
subsevenzip-python:用 python 编写的 7zip 提取器,仅支持 7zip 规范的一个子集
07-02
七号邮编 用 python 编写的 7zip 提取器,仅支持 7zip 规范的一个子集。 目前仅支持 LZMA1 编码,以后可能会添加更多编解码器。 这个模块存在的原因只是为了在编写一个可以提取一组定义明确的文件的 JavaScript 版本之前玩弄格式。 有关的 在此模块的开发过程中有用的一些链接。 Apache CommonsCompress 和 SharpCompress 几乎都是原始 7-Zip C++ 代码的逐行移植。 执照 数据库组合在 Internet 软件联盟许可下可免费使用,有关其他详细信息,请参阅 COPYING.ISC。
2.1)【经典木马-冰河木马】详细介绍,原理使用方法
07-09 8153
经典木马-冰河木马
网络安全威胁分析与应对:从原理到实践
![网络安全威胁分析与应对:从原理到实践]...- **恶意软件:**病毒、蠕虫、特洛伊木马等旨在破坏或窃取数据的软件。 - **网络攻击:**黑客利用系统漏洞或弱点进行的未经授权的访问或破坏。 - **社会工程:
《信息安全原理》复习笔记
whooiif的博客
04-25 5267
整了6k字然而我发现基本概念基本没弄清楚。。 考完试了然而这份复习笔记跟考试并无关系。。 有错。。不全。。加粗的也不是重点。。 下次复习。。一定记得看图。。。。 【0.1】 1. 安全性与花费的tradeoff;一些常见的安全错觉(myth);insider 进攻更普遍,因为有access、knowledge、opportunity。 【0.2】 1. 第一个中国密码:太公
web-渗透测试方法】(15.1)解析应用程序内容
09-03 647
【解析应用程序内容】
web渗透思路】框架敏感信息泄露(特点、目录、配置)
11-23 7045
【渗透思路】框架敏感信息泄露
黑客惯用软件
weixin_30398227的博客
10-21 861
扫描工具 流光 国内最佳的猜解密码软件,对ftp,http, 代理服务器,e-mail信箱等都可以破解 as-1021 可以查出网上正在运行的sniffers atlas dos/windows的cgi漏洞扫描工具,能扫描65种漏洞 cgiscan cgi 漏洞扫描工具,能扫描60种漏洞 cyberkit 功能强大的tcp/ip跟踪工具 domainscanv扫描...
【内网安全-基础】基础知识、信息收集、工具
12-14 4162
【内网安全-基础】内网的基础知识、内网信息收集常用命令、内网信息收集工具
网络安全概述:从认知到实践
最新发布
l1x1n0的博客
10-04 581
网络安全:保护网络系统的硬件、软件及数据,确保其不受破坏、泄露或篡改。网络安全是一个不断发展的领域,需要个人、企业和国家共同努力。提高安全意识,掌握基本防护技能,遵守相关法律法规,是每个网络用户应尽的责任。同时,网络安全产业的快速发展也为相关人才提供了广阔的职业前景。
2024年三个月网络安全(黑客技术)入门教程
2401_85027336的博客
09-25 1879
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值