3、强行安装

　　有高手曾经说过：一个好的网页木马是三分漏洞、七分脚本，往往因为脚本的失误而导致木马的成功率降低。生成一个ActiveX插件木马是相当简单的，但是如何让它安装互系统中却是黑客研究的重点。

　　首先从网页上下载一个可以“强行”安装ActiveX木马的工具包(这个工具包中的工具可以将ActiveX木马强行安装到用户的系统中)，然后执行黑客的木马程序。接着将木马程序分别放到test文件夹下test1和test2两个子文件夹中。

　　最后将木马程序的名称改为默认的admin.exe。将修改好的脚本test文件夹下的各个文件一起上传到网页空间当用户浏览黑客设置的来意网页时，就会弹出安装网页插件的窗口。 我部署了一个web服务器，大家可以看到这个网页插件的提示窗口已经和正常的网页插件窗口别无二致，没有任何的漏洞，完全可以假乱真。(图3)

　　图3

　　4、披上伪装

　　ActiveX插件木马的最大特点就是迷惑性极强，上面例子中我们把它假装成软件厂商Holistyc的ActiveX插件。其实很多黑客会对控件进行修改将它假造成为微软、Google、Macromedia等全球著名的软件厂商的插件,这样可以让用户真假难辨,提高中木马的几率。

　　确认网页控件的名字是preload，它存放在build文件夹下，CAB是一种标准的压缩格式，将它解压，解压后出现的preload.ocx才是真正的插件。

　　eXeScope是一款强大的程序资源编辑工具，可以直接查看，修改软件的资源，包括菜单、对话框字符串表等。载入插件prjXTab.ocx，点击资源书下“资源”菜单中的“版本”选项，在右侧的窗口中出现关于插件版本信息的内容。在“TYPELIB”选项上点击鼠标右键，选择其中的“编辑”命令在弹出的窗口中修改“TYPELIB”选项的内容，在“版本选项中可以修改其版本”比如：Microsoft、Google、Macromedia等等，修改完成后再压缩为prjXTab.cab后即可使用。再伪装后的ActiveX插件木马更加迷惑人。(图4)

　　图4