今年四月份的黑防有一篇文章《把任意可执行文件作为木马载体》,文中介绍了通过给可执行文件添加一个新节并修改程序入口点的方法来加载我们的特洛伊 DLL,此方法具有明显的病毒行为特征,卡巴会将其识别为新的Win32病毒,据我的理解,凡是入口点不是指向代码节的它都会报有毒.KIS是防火墙与杀毒软件等传统安全产品的超集,是行为加特征码来防范恶意软件,所以以往普遍使用的诸如:CreateRemoteThread、 SetThreadContext、SetWindowHook等等以及通过Appinit_Dlls等注册表键值来进行代码注入的行为都会被KIS所拦截.而且可信进程的可疑网络行为也会被警告,如:IE浏览器访问一些非Web端口.Windows 系统服务分为独立进程和共享进程两种，在Windows NT时只有服务器管理器SCM（Services.exe）有多个共享服务，随着系统内置服务的增加，从Windows 2000开始微软又把很多服务做成共享方式，由svchost.exe启动。svchost作为NT平台网络服务的载体,是唯一一个在kIS下拥有完全访问网络权限的程序,假如能让它加载我们的DLL,那么就可以轻松穿透KIS这堵铁墙.修改svchost的引入表就能达到这个目的,前段时间的一个后门" 黑客之门"就是通过这种方式自启动的,修改EXE文件的引入表需要读者对PE文件结构有一定的了解,何为引入表呢?每个PE文件都有引入表, svchost的引入表如图1:

图1
每个引入的DLL都会用一个IMAGE_IMPORT_DESCRIPTOR表示，该结构定义如下：
IMAGE_IMPORT_DESCRIPTOR STRUCT
union
Characteristics dd ?
OriginalFirstThunk dd ?
ends
TimeDateStamp dd ?
ForwarderChain dd ?
Name1 dd ?
FirstThunk dd ?
IMAGE_IMPORT_DESCRIPTOR ENDS
对照着图应该很容易明白,修改后的引入表如图2：

这样，系统重启后svchost就会默认加载我们的sec.dll，于是强大的卡巴就倒在了脚下。
其实，像“黑客之门”一样修改引入表实现自启动非常简单，方法有两种，一种是利用微软提供的Detour库实现，另外一种就是自己实现，我比较推荐第一种，但是抱着学习的目的我们还是得练练手，代码我已经用纯ASM实现了一个简单的下载者，仅供各位参考，概括的说一下实现过程：
1.定位目标原引入表，将其读出
2.增加一个新节
3.将被我们修改过的引入表写入新节
4.将目标的引入表地址指向新节
这有个问题需要澄清一下，增加一个新节会使目标的文件大小改变，要文件大小不变也可以，只要找到足够大的空隙，然后写入新引入表即可，我下面的代码以XP下的svchost作为例子，所以无法插入空隙，修改使文件大小不改变的就留给各位读者当个作业吧。

[1] [2] [3] 下一页