测试环境:Windows Server 2003 Sp1.   磁盘格式NTFS     这里的免杀，跟加壳，改特征码一点关系都没有.所以新手不要害怕.我一般呢就是在肉鸡上种Radmin+灰鸽子+黑客守卫者+servu.dll，你看看有几个是被杀的. 鸽子.国内大名鼎鼎的远程控制软件.KV，卡巴紧盯着不放呢.新版的出来也最多一两天就被XX了.改特征码是可免杀，对高手是件简单的事.对初学者呢..呵呵就不 多说了.Radmin因为用来搞黑的人太多了.也被杀毒软件盯上.黑守就跟不用说了.servu.dll这个好象还没被杀.好切入正题,我们今天要说的就是利用ADS流来搞免 杀.其实就是欺骗杀毒软件而已.不过有一点要注意的是：此招不可在FAT32下使用.就是说磁盘格式不能是FAT32，正好适合服务器使用.    ADS流的简介：   微软的平台不断在增加.公司用的服务器和桌面操作系统运行的一般是winNT和win2000,而家庭用户和学生用的系统一般是winXP.这些平台是很受欢迎的并且被 大范围的使用.可是使用这些操作系统的用户和管理员却对NTFS文件系统的某个特性知道的很少,那就是”交换数据流”(alternate data streams). NTFS因为它的稳定性 强大的功能 以及它所提供的安全性而成为一种更优越的文件系统,NTFS交换数据流(ADSs)是为了和Macintosh的HFS文件系统兼容而设计的 它使用资源派生(resource forks)来维持与文件相关的信息,比如说图标及其他的东西.而微软提供了一种方法通过Windows explorer来创建特殊的ADSs,检测这 种特殊的ADSs的必要工具和功能相当缺乏.说来也奇怪,系统一直以来都有允许用户创建ADSs以及在这种流文件中执行隐藏代码的功能和工具.好，下面我们来实际操作一下. cmd下输入.echo sb110 >>77169.txt:3721.txt 测试一下.要在NTFS分区下才好使. 将sb110的内容写到77169.txt里，直接看不到. notepad 77169.txt:3721.txt 意思用记事本打开77169.txt:3721.txt 注意：必须把路径写好.如图1，2 有见过这样的文件名吗？txt:3721.txt？同理，也可以把EXE文件写进去.打开CMD，输入type 1.exe >>zhu.txt:xxx.exe  1.exe是pcshare服务端.如图3 好了已经成功将一个exe文件写入了文本里，原来的那个exe可以不要了，就一个文本文件.而且还是0字节的.不知道ADS流的也根本想不到里面会暗藏杀机.如图4 直接打开，里面什么也没有，如何启动我们插进的马儿呢.在CMD下输入:start e:\zhu.txt:zhu.exe 一定要把路径给写上去咯.不然会出现，拒绝访问等错误，如图5 看到没有，这就是没写好路径的结果.现在我们再输入start e:\zhu.txt:zhu.exe 回车.已经没有这种错误提示了.图6 然后看看pcshare有反映没，自己上线没，确实上线了.如图7 画红线的就是我的计算机了。这种办法能逃避一些杀毒软件的追杀.因为它只是一个文本文件，我们也可以配合其他后门一起使用.就如前面所说的那几种配合.不过ADS流只能在NTFS分区下有效果.服务器的磁盘格式一般是NTFS格式的.FAT32的很少.所以也不必惊慌.既然是给肉鸡中上.你肯定要把东西传到肉鸡上咯.不过传的方法.可是不同的.你用tftp 或ftp直接上传是会丢失ADS流的，也就是说你传上去，真是一个空文本.里面的马没了.到底该怎么样传呢.应该用WinRar打包然后进行上传.打包的时候要注意选择-高级-保存文件流数据.如图8 这样在传输过程中就不会丢失ADS流信息了.压缩之后.RAR文件可不是0字节的.证明ADS流也是要占用空间的.这时你拿杀毒软件就可以把它杀出来了.如图9 看到了吧.如果释放出来.就应该不会被杀了.（不过在我测试中发现那txt文本也会被卡巴XX掉.可能是卡巴太厉害了吧.）

评论