|
 | 作者: hacker521 [hacker521]
 论坛用户 |
登录 |
| 我在学校上的是教育网。要扫国外的主机需要靠跳板。 但很多软件都已经被列为病毒! 比如:opentelnet,ca等,放到肉鸡上很可能就被杀掉....不爽 连SkSockServer都被列为病毒...郁闷啊!! 经过几次尝试,我想到了一种简单的躲过杀毒软件的方法。那就是更改可执行程序的扩展名。 比如我们可以把SkSockServer.exe更改为sk.jpg 这样的话,杀毒软件就查不出来了。 在直接双击执行更改过扩展名的程序时候,系统便会询问用什么方式打开,也就是说windows也认不出来。 但是我们在cmd命令行中却可以执行。是不是很神奇???而且和没改扩展名的时候效果是一样的。 不同的是,当我们要执行更改了扩展名的程序时候需要打全名(把扩展名也打上)。 下面是我在本机上安装sksockserver(sk.jpg): 首先: 我们利用没改扩展名的程序: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ E:\>SkSockServer -install 拒绝访问。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 这时就弹出瑞星的病毒提示,说发现病毒! 下面我们看看改过扩展名的。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ E:\>sk.jpg -install Snake SockProxy Service installed. E:\>sk.jpg -config port 1800 The Port value have set to 1800 E:\>sk.jpg -config starttype 2 The New StartType have set to 2 -- Auto E:\>net start skserver Snake SockProxy Service 服务正在启动 . Snake SockProxy Service 服务已经启动成功。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ok!成功! 现在我们不怕杀毒软件了!而其他的在命令行执行的程序也可以用这种方法。 我就不一一叙述了。 原理: 其实原理很简单,我们利用了cmd判断文件类型的方法: 在CMD中,系统首先判断文件的类型是否是执行文件, 判断方法不是文件扩展名,而是文件头的PE段。 如是执行文件,则执行它。 如不是,再根据相应的关联启动相应程序。 如没有输入扩展名,则系统将默认扩展名为BAT,EXE,COM 依次判断。 也就是说,程序更改了扩展名后,只有cmd.exe能“认”出它来, 因为cmd不是根据扩展名来判断文件类型的。 而windows是靠扩展名来判断文件类型的. 这样,我们就可以骗过windows和杀毒软件. |
| 地主 发表时间: 04-04-10 16:50 |
 | 回复: abctm [abctm]  版主 |
登录 |
|
收下了 |
| B1层 发表时间: 04-04-10 16:53 |
| 回复: zns [zns]  论坛用户 |
登录 |
|
我很菜鸟。谁能为我讲讲肉鸡这东东呀? |
| B2层 发表时间: 04-05-06 15:55 |
 | 回复: lhh2003 [lhh2003] 论坛用户 |
登录 |
|
版主好厉害哦,又学习到新的东西,谢谢啦,顶。。。。。 |
| B3层 发表时间: 04-05-06 16:36 |
 | 回复: lobam [xx_js]  论坛用户 |
登录 |
|
佩服!!!!!! |
| B4层 发表时间: 04-05-06 18:11 |
 | 回复: cwenqiang [cwenqiang]  论坛用户 |
登录 |
|
这个东东好用吗?? |
| B5层 发表时间: 04-05-06 19:52 |
 | 回复: fly4000 [fly4000]  论坛用户 |
登录 |
 斑竹我爱你.哈哈。真是厉害。帮助不小啊. 佩服佩服!! |
| B6层 发表时间: 04-05-06 19:57 |
| 回复: hacker521 [hacker521] 论坛用户 |
登录 |
|
其实这个在黑客X档案里面讲果过,当时虽然觉得不错,但也没太在意,后来一个朋友留言给我,问我怎么才能躲过肉鸡的防火墙,我就想到了他,经过查找就有了这篇帖子,希望你们会喜欢 |
| B7层 发表时间: 04-05-07 09:33 |
| 回复: zns [zns] 论坛用户 |
登录 |
|
修改扩展名是不是用另存为呀? |
| B8层 发表时间: 04-05-07 10:18 |
| 回复: edpdsw [edpdsw] 论坛用户 |
登录 |
|
版主,佩服你!!! 好棒的你!!! ��!!!  |
| B9层 发表时间: 04-05-07 10:20 |
| 回复: benbentt [benbentt] 论坛用户 |
登录 |
|
版主高明,呵呵,顶 |
| B10层 发表时间: 04-05-09 11:01 |
| 回复: uncracker [uncracker] 论坛用户 |
登录 |
|
顶 |
| B11层 发表时间: 04-05-10 15:35 |
| 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
呵呵! 几百年前的东西了! 现在改扩展名不行了! 起码在诺顿企业版下不行 我很早就试过了! 有几个公司的服务器不安装诺顿安装瑞星啊! |
| B12层 发表时间: 04-05-10 21:28 |
 | 回复: lqfrla [lqfrla] 论坛用户 |
登录 |
|
HAO |
| B13层 发表时间: 04-05-10 21:56 |
| 回复: lobam [xx_js] 论坛用户 |
登录 |
|
我试了下 好象不行呀 ,在把它传到肉鸡上的时候,就会被杀毒软件检测出来,即使该了扩展名 |
| B14层 发表时间: 04-05-17 17:34 |
 | 回复: yangliwei [yangliwei]  论坛用户 |
登录 |
|
楼主,你讲的不错! 但我更正一点: “ 如没有输入扩展名,则系统将默认扩展名为BAT,EXE,COM ;依次判断。 ” 这里的正确的顺序应为:.com,.exe,.bat ! |
| B15层 发表时间: 04-05-20 14:55 |
| 回复: semimail [semimail]  论坛用户 |
登录 |
|
又学到一招,能被我看懂的帖子,真少啊!楼主 |
| B16层 发表时间: 04-05-20 19:25 |
 | 回复: lgf [lgf] 论坛用户 |
登录 |
|
HEHE |
| B17层 发表时间: 04-05-21 12:44 |
 | 回复: iloveliang [iloveliang] 论坛用户 |
登录 |
|
原来改名也是一种技术.............OK............. |
| B18层 发表时间: 04-06-05 17:47 |
| 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
我试了! 为什么不行 ! 我在自己的电脑上试的! 我的 诺顿是最新版本的! |
| B19层 发表时间: 04-06-05 18:10 |
 | 回复: tianya2003 [tianya2003] 论坛用户 |
登录 |
|
可以就更好罗・! |
| B20层 发表时间: 04-06-05 18:16 |
| 回复: hacker521 [hacker521] 论坛用户 |
登录 |
现在确实不行了, 你看我发表的时间就知道,任何入侵躲避方法都会很快被安全人士找到防御的方法,我们就是在这样的环境中才会又成长呀,不是吗?我也希望我们论坛能多出几个大虾,比搞安全的更快的发现系统漏洞,成为20CN的骄傲呀,呵呵,好象又点离题了 |
| B21层 发表时间: 04-06-05 19:32 |
| 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
支持你的做法! 我也希望这样! |
| B22层 发表时间: 04-06-05 20:10 |
| 回复: hoxhox [hoxhox] 论坛用户 |
登录 |
|
这样改是不能的了,现在的杀毒已很…………………… |
| B23层 发表时间: 04-08-04 11:46 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: [转帖]利用cmd的特性躲过肉鸡病毒防火墙的方法