进入命令提示符,在test文件目录下利用type命令将muma.exe以交换数据流的形式注入到HijackThis.exe里,之后你可以通过属性查看HijackThis.exe文件的大小,前后是不会发生任何变化的。
利用WINRAR,将已经注入了木马程序的宿主添加到压缩文件。
需要注意的是在“高级”选项中勾选“保存文件数据流”。
- 18 -
可以将HijackThis.exe和muma.exe删除了,之后我们打开已经压缩好的HijackThis.rar。
选择右上角的“自解压格式”。
- 19 -
在“自解压格式”标签的“自解压模块”中选中“Default.SFX”,然后点击“高级自解压选项”。
在其“常规”标签的“解压后运行”中填入“HijackThis.exe:muma.exe”。
- 20 - 切换到“模式”标签,勾选其中的“全部隐藏”、“覆盖所有文件”。全部设置完成后点击“确定”。
这样我们就得到了一个新的HijackThis.exe,为了欺骗性更大黑客可以把它重命名为“setup.exe”。
当我们打开这个setup.exe,或者对其解压安装的时候,已经注入其中的muma.exe就自动运行了,由于它是以NTFS交换数据流的形式存在于这个setup.exe当中,所以无法通过windows自带的搜索或者dir命令找到,甚至可以骗过杀毒软件的搜索引擎。
- 21 -
数据流木马虽然隐蔽,但是防范的方法还是有的。
? 首先对于Winrar的自解压文件我们一定要小心,可以选择用Winrar打开自解压文件
而不是双击打开。
? 其次,可以使用一些专业的NTFS数据流检查工具,找出隐藏在系统中的恶意文件。
专业检测NTFS数据流文件的工具有Sfind.exe、Streams.exe、lads.exe等,这里我们以lads.exe为例进行介绍。
lads.exe是一个命令下的工具,需要在“命令提示符”中使用。在“命令提示符”中运行lads.exe,程序会自动检测当前目录中的NTFS数据流文件,如果要检测子目录中的数据流文件,可以在lads.exe运行的同时添加一个参数“/s”,这样就可以检测到子目录中的数据流文件了。对指定文件夹进行检测时,可以使用“lads.exe 文件夹路径”命令。
- 22 -