远程线程跳板---实现木马的深度隐藏技术!!!!!!!!!!!!!!!!
很多木马在运行时都有一个弱点,就是用户可以看到有木马程序存在,或者是*.exe在运行,或者是*.dll被其他进程调用,这样只要用户将这些木马程序杀了就行了呀:)
能不能不要*.exe和*.dll就能运行木马呢?当然有,呵呵,本人最近发现一个办法,可以让木马程序运行时,不要有*.exe和*.dll,让他象病毒一样在nt/2000下驻留内存,谁也见不到他,当木马在内存中运行时会将启动木马的*.exe或*.dll文件从硬盘上删除,所以想从硬盘上找到木马程序并分析他的原理是不可能的,当然你也不要想删木马文件,他已经自已删了哟,木马很听话,不用你费力了哟!但是木马不象病毒,他不会感染*.exe文件,所以你想在*.exe文件中找到木马的影子,然后分析他的工作原理并杀掉他是不可能的,而且木马在多个进程中创建多个木马线程的不同功能模块,组成线程容错系统,互相支援,不会轻易死掉哦:)
比如线程A是管理线程,主要管理其它线程不让他们死掉,
线程B是网络数据传输线程,他很容易死掉哦:)因为人家会监视数据传输并在进程中找到该线程的哦:)但他死了之后,没有关系啊,线程A又重新创建新的线程B啊:)
呵呵但线程A和B是功能独立的两个线程,分别驻留在两个不同的进程中,想通过分析线程B的代码来找到线程A的藏身位置是不可能的哦:)因此线程A是永远安全的,因为他不对外联系,他的唯一的作用就是在线程B死掉后创建新的线程B:)程序不会找到他的哦:)这样线程B就通过线程A这安全跳板实现了木马功能,线程B是个敢死队成员,他以自已的生命换取同伴(就是线程A)安全,当这个敢死队员死了后,他拉同伴(线程A)会为他默哀3分钟,然后派出了一新的敢死队员(线程B)继续革命工作,国父孙中山先生曾说过,革命尚未成功,同志尚需努力!所以线程B会努力革命哟,哈哈哈!!!
微软好可怜好可怜哟,555555555555555555555555555555