一个简单木马程序的设计与开发.
一个简单木马程序的设计与开发
1 前言 1.1 课题背景随着互联网技术的迅猛发展,网络给人们带来了很多便利,但是也带来了许多麻烦。各种网页木马,后门,下载者,病毒,利用各种系统漏洞,网站漏洞,程序漏洞,邮箱漏洞,U 盘及社会工程学等在网上横行,给广大用户带来了重要资料丢失,机密文件提前泄密,邮箱帐号,游戏帐号,各类照片被人恶意修改后传播到网上,系统被格盘,系统被监视,摄像头被人暗中开启并录像传播等非常严重的后果。使得许多朋友,闻木马,就变色。为了使更多朋友了解木马病毒,通过编写一个简单的木马,来分析它及其的变形,提出相应的防范措施。 1.
2 国内外研究现状从有关的资料看,国内外的windows系统下的木马,功能已经从简单发展到全面,大致包括以下功能:上传下载文件,删除文件,复制文件,粘贴文件,文件编辑,文件重命名,文件剪切,新建文件,修改文件,修改文件的创建时间等;获得目标主机名,IP地址,以及目标主机地理位置,系统打了多少补丁,安装了些什么软件,MAC地址,安装了几个处理器,内存多大,网速多快,系统启动时间,系统目录,系统版本等;取得目标主机的CMD权限,添加系统管理员,对目标主机进行注册表操作,开启目标主机3389端口,软件自动更新,使目标主机成为HTTP,SOCK5代理服务器,对目标主机的服务进行操作,对目标主机的开机自启动项进行操作,目标主机主动向控制端发起连接,也可主动向目标主机发起连接等,暗中打开用户摄像头,监控,录制用户隐私生活,对用户进行屏幕监控等。木马的隐蔽性更强了,从原来的单纯隐藏在某个目录中,发展到了替换系统文件,修改文件修改时间等。木马从EXE文件靠注册表启动,发展到了DLL文件远程线程插入,替换修改系统DLL文件,靠驱动文件等高级水准,更有写入系统核心中的。木马深藏在系统中,甚至在许多杀毒软件启动前启动,或者是绑定到杀毒软件上,或者修改杀毒软件规则,使得杀毒软件误以为它是合法文件,或者是将木马DLL文件插入到WINLOGON.EXE 中,以至于在安全模式下也无法删除。有的病毒会在系统部分盘中,创建Autorun.inf文件,然后把病毒也复制到该目录下隐藏着,使得用户双击该盘时,运行该病毒,对此,某些用户格式化了系统盘再重装系统,也无法删除它。更有木马,病毒会感染某些盘中的EXE文件,COM文件,使得用户重装系统后,运行该文件后又运行病毒。木马中招的方式包括:访问不安全网站,访问某些被入侵后的安全网站,在不同机子上使用U盘,通过U盘传播的木马病毒也越来越多,对系统或是一般程序进行溢出后,上传木马,对网络中的主机进行漏洞扫描,然后利用相关漏洞自动传播,利用邮箱漏洞配合网页木马,使用户中招,直接通过QQ等聊天软件传给用户,并叫其运行,在QQ等聊天软件中发布网址给好友,好友不知情下点击中招,通过物理接触主机以及远程破解主机密码等手段中招。木门在被杀毒软件查杀后,一般马上就会有变种或是升级版本流传,通过对木马进行加壳,修改木马特征码,修改程序等手段使木马免杀。木马还包括ASP和PHP以及ASPX,JSP木马,它们能过网页的形式存在,也可以有很多功能,如常见的ASP木马就有如下功能:登录验证,上传下载文件,删除,复制,移动,编辑文件,新建文件,新建目录,搜索文件,更改文件名,查看文件修改时间,serv_u漏洞提权,查看服务器信息,查看环境变量,注册表操作,探查网站是否支持PHP,查找网站上已经存在的木马,包括已经加密后的,对服务器上所有盘的文件操作,对数据库进行操作,对网站
文件进行打包以及解包,实现单页代理,进行cmd命令行操作,对整站进行挂马等功能。而简单的ASP,PHP,ASPX,JSP木马,则只有一句话。 1.3 本课题研究的意义通过对木马病毒及其变形的分析,提出可行的防范措施,使更多的用户了解木马病毒,了解防火墙,了解杀毒软件,了解常给系统打补丁的作用,以及加密保管重要文件,机密文件脱机保管的重要性。 1.4 本课题的研究方法及目标编写一个简单木马,通过网页传播,使用户了解其功能,传播方法,删除方法,危害性以及其变形后的可能情况。要实现以下目标:
1. 记录用户键盘输入
2. 获取本机IP地址
3. 添加管理员admin$密码admin888
4. 替换系统目录下的sethc.exe为cmd.exe
5. 关闭常见的防火墙,杀毒软件
6. 打开3389端口
7. 定时向指定邮箱发送邮件,内容为IP地址和键盘输入 8. 打开设定端口,取得目标主机的CMD权限 9. 把程序安装成系统服务,实现开机自启动 10. 使用MS06-014网页木马
11. 编写两个辅助程序 2 需求分析
2.1 程序要求木马要求有如下功能:记录具有某些关健字的键盘输入,关闭杀毒软件防火墙,定时向指定邮箱发送邮件,添加系统管理员,替换系统目录下sethc.exe为cmd.exe,打开3389端口,打开用户设定端口,开启CMD 权限,把程序自身复制到系统目录下,并设为系统服务实现开机自启动,获取本机IP地址。通过网页木马下载并运用该木马程序,网页可用MS06-014或者是MS07-004以及更新的漏洞,实现对未打补丁,杀毒软件,防火墙久未更新的系统中招。配置程序能对邮箱地址进行测试,能设定发信时间,能设定直接连接端口。目录论文总页数:21页 1 前言 1 1.1 课题背景 1
1.2 国内外研究现状 1 1.3 本课题研究的意义 2 1.4 本课题的研究方法及目标 2 2 系统分析 3
2.1 需求分析 3 2.1.1 程序要求 3
2.1.2 辅助程序图 3 2.1.3 木马程序功能说明 4 3 程序设计 4
3.1 辅佐程序设计 4 3.2 木马程序设计7 3.2.1执行命令模块7 3.2.2键盘记录模块9 3.2.3关闭进程模块12 3.2.4网页木马模块14 4 程序及其变形的分析及防范措施15
4.1 一般木马的分析及防范15 4.2 常见防范方法16 结论18 参考文献19 致谢20
声明21
木马编程系列
木马编程系列 今天我为大家讲如何用VB编写"木马"程序 木马一般分为两个主程序:一个是服务器端的程序(server),另一个是客户端程序(client),服务器程序是给 攻击对象用的,千万不可用错了----给自己种马的人 0 客户程序才是给自己用的,于是我们就用VB建立两个程序,一个为服务器端程序cockhorseserver,另一个为 客户端程序cockhorseclient. 先在cockhorseclient程序中建立一个窗体,加载一个winsock控件,称为tcpclient,再加上两个文本框,用来 输入服务器的IP地址和端口号.另外还要建立一个按钮,按下后可以对连接进行初始化. 代码我写下: Private Sub Command1_Click() '调用connect方法,初始化连接. tcpclient.RemoteHost = ipinput.Text tcpclient.RemotePort = Val(portinput.Text) '这是端口号,默认为1001 tcpclient.Connect '和指定的IP相对的计算机相连接 cmdconnect.Enabled = False End Sub (在收到数据之后,就要对这些数据做出相应的处理,使用dataarrival事件,可以方便运载数据进操作. Private Sub tcpclient_dataArrival(ByVal bytestotal As Long) Dim strdata As String tcpclient.GetData strdata If strdata = "test connect" Then tcpstate.Text = "connect OK" + vbNewLine + LocalIP Is ":" + -tcpclient.LocalIP + "computer name is : " + tcpclient.LocalHostName tcpstate.Text = tcpstate.Text + vbNewLine + "remote ip is :" + -tcpclient.RemoteHostIP + "computer name is : " + tcpclient.remotehostname If InStr(Trim(strdata), "closeOK?") > 0 Then tcpclient.Close End If End If txtoutput.Text = txtouput.Text + vbNewLine + tcpclient.RemoteHostIP + ": " + strdata End Sub
1个简单的批处理让你的电脑免疫所有木马病毒
1个简单的批处理让你的电脑免疫所有木马病毒 为了编写这这个批处理程序,本人整整研究了1个多星期,终于完成了,给大家分享。不发附件,因为下载要钱的,我要的是让大家都可以免费获得这个好程序。我把原代码发上来! 觉得的好的,只需要帮我顶下帖子就行!谢谢!! @echo off color 0a echo ****************************************************************************** echo * * echo * 现在进行机器狗免疫 * echo * * echo ****************************************************************************** md C:\WINDOWS\system32\wxptdi.sys 2>nul md C:\WINDOWS\system32\wxptdi.sys\1..\ 2>nul md C:\WINDOWS\system32\fat32.sys 2>nul md C:\WINDOWS\system32\fat32.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\ati32srv.sys 2>nul md C:\WINDOWS\system32\drivers\ati32srv.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pcibus.sys 2>nul md C:\WINDOWS\system32\drivers\pcibus.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pcidisk.sys 2>nul md C:\WINDOWS\system32\drivers\pcidisk.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pcihdd.sys 2>nul md C:\WINDOWS\system32\drivers\pcihdd.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\phy.sys 2>nul md C:\WINDOWS\system32\drivers\phy.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pop.sys 2>nul md C:\WINDOWS\system32\drivers\pop.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\puid.sys 2>nul md C:\WINDOWS\system32\drivers\puid.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\usb32k.sys 2>nul md C:\WINDOWS\system32\drivers\usb32k.sys\1..\ 2>nul md C:\WINDOWS\system32\2dogkiller.sys 2>nul md C:\WINDOWS\system32\2dogkiller.sys\1..\ 2>nul attrib C:\WINDOWS\system32\wxptdi.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\fat32.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\ati32srv.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\ati32srv.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\pcidisk.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\pcihdd.sys +s +h +r +a 2>nul
利用NC来制作自己的反弹木马
利用NC来制作自己的反弹木马 免责申明:我也是第一次公开写这样的东西,不过写此文的目的是为了技术上的研究,把我自己的一些方法和技巧讲出来,和大家一起探讨,希望大家能提出意见.并不是教大家如何利用此方法去破坏别人的电脑!请不要用于非法目的,否则一切责任自负与我无关,呵呵~~~我可不想做黑鹰的大米呀. 一、必须掌握的基础知识; NC这个工具对于一个黑客来说再熟悉不过了,可以说是每个黑客必备工具之一,被称做黑客的一把瑞士军刀!可见其地位之高.大家有兴趣的话自己去看一下有关NC的一些详细用法吧,我在这里就不多说了,这不是我这次要讲的主题,我只把其中我用到的一些参数介绍给大家.NC并不是一个图形界面的工具,但它有很强大的正向链接、反向链接、扫描和监听PORT等功能! 对于木马,它的种类也有很多,但最让人喜欢的还是具有反弹功能的木马,它可以让我们一劳永逸,一次种植成功以后便自动找上门来,呵呵~~~事半功倍呀!这也是我喜欢反向链接木马的一个原因。(对于正向链接我最喜欢的一个工具就是radmin,原因就是它不会被杀。)至于如何让别人中了你的木马、如何去入侵对方,然后给他种马我就不说了(这也不是我这次要说的主题)方法和手法有很多,就看你的技术了。当你成功入侵一台机子后,你想做的事当然是永远的抓住它,不要让他轻易的溜走,那就赶快上传你自己的木马吧!这是我的通常做法。这时一个优秀的木马会给我们很大帮助。 还是来说NC吧。它的使的格式是这样的,在CMD下输入:NC.EXE [参数1] [参数2] ……主机名(或IP)。 NC有很多的参数,它的功能就体现在这些参数上。这里有几个要用到的、必需掌握的参数给大家简略的介绍一下: -l监听模式,可以监听本地的PORT即端口; -p设置端口,后加端口号; -v显示详细信息, -vv显示更详细信息; -t 以telnet交互方式来回应; -e程序重定向,可以把目标机的CMD重定向到一个端口上,然后我们在本机进行监听,这样就可以得到目标机的SHELL了,具体看后面我讲的例子吧; -d后台模式;主要的参数就这么多吧,我们通过下面的例子来一步一步学习吧! 二、简单的几个例子; 例如对本机TCP端口90的监听:nc.exe -l -v -p 90 127.0.0.1 意思是临听本机的TCP 端口90(如图1)。
查木马的简单方法
查木马的简单方法 当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320等等。那么,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。以下是详细方法介绍。 1.Windows本身自带的netstat命令 关于netstat命令,我们先来看看windows帮助文件中的介绍: Netstat 显示协议统计和当前的TCP/IP 网络连接。该命令只有在安装了TCP/IP 协议后才可以使用。 netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] 参数 -a 显示所有连接和侦听端口。服务器连接通常不显示。 -e 显示以太网统计。该参数可以与-s 选项结合使用。 -n 以数字格式显示地址和端口号(而不是尝试查找名称)。 -s 显示每个协议的统计。默认情况下,显示TCP、UDP、ICMP 和IP 的统计。-p 选项可以用来指定默认的子集。 -p protocol 显示由protocol 指定的协议的连接;protocol 可以是tcp 或udp。如果与-s 选项一同使用显示每个协议的统计,protocol 可以是tcp、udp、icmp 或ip。 -r 显示路由表的内容。 interval 重新显示所选的统计,在每次显示之间暂停interval 秒。按CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。 好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数: C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:21 0.0.0.0:0 LISTENING TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 0.0.0.0:0 UDP 0.0.0.0:1046 0.0.0.0:0 UDP 0.0.0.0:1047 0.0.0.0:0
自解压木马的制作及查杀图文教程
自解压木马的制作及查杀图文教程 https://www.360docs.net/doc/6410398877.html,/wojiubaibudu/blog/item/e75b30871fd65d3466096e04.html 2009-09-24 自解压木马是利用 WinRAR 软件的自解压技术制作的。WinRAR 解压软件想必你的电脑已经安装了吧。 不要问我怎么安装 WinRAR ,我会生气的(╰_╯)。那么,我们开始吧。 1.本例用一张图片和一个木马制作自解压木马,当然你可以用别的文件代替本例中的图片。 2.接着,将图片和木马压缩为一个文件,不要问我怎么压缩(╰_╯)。
3.双击压缩好的文件,可以看到下图界面,单击工具栏最右边的“自解压格式”。 4.在弹出的对话框中,再单击下图鼠标所指的“高级自解压选项”。
5.此时,弹出如下图所示对话框,在“解压路径”文本框中输入一个路径,此路径的作用是: 当用户运行自解压木马时,压缩包中的木马自动释放到此路径中。所以,最好输入一个不容易被发现的位置 如本例中的“%SystemRoot%\system32”,表示解压到系统文件夹下的system32文件夹中。
同时,还要在【安装程序】组合框中的“解压后运行”文本框中输入木马文件“木马.exe”, 在“解压前运行”文本框中输入图片文件“MM.jpg”。 6.切换到【模式】选项卡,在【安静模式】中选择“全部隐藏”。
7.再切换到【更新】选项卡,选择“解压并替换文件”和“覆盖所有文件”。
8.点击确定,再点击确定,到此为止,自解压木马就制作完成了,生成的自解压木马在原压缩文件同目录下,如下图所示。
基于行为分析的木马检测系统设计与实现
龙源期刊网 https://www.360docs.net/doc/6410398877.html, 基于行为分析的木马检测系统设计与实现 作者:张琦李梅 来源:《电子技术与软件工程》2016年第18期 摘要 随着近年来网络技术的飞速发展,安全问题日益突出,病毒、木马、后门程序等恶意代码层出不穷,重大经济损失事件及重要泄密事件频频发生。传统的代码检查技术主要依靠特征码,静态分析等手段,对分析者的技术要求高,效率较低,难以实现批量检查。针对这些缺点,本文提出一种基于行为分析的木马检测技术,通过记录应用程序的动态行为,综合恶意代码的API调用序列,功能性行为特征、隐藏性行为特征、Rootkit行为特征等作为判别依据, 分析其恶意危害性;同时给出详细的分析报告及关键行为记录,方便对恶意代码的手动查杀及深入分析。实验表明本文提出的检测方案能够有效地检测已知或未知的恶意代码,提高木马的检测准确率和检测效率,达到预期的研究目的。 【关键词】恶意代码行为分析行为特征 随着信息技术的飞速发展,计算机应用以及计算机网络己经成为当今社会中不可缺少的重要组成部分,对经济发展、国家安全、国民教育和现代管理都起着重要的作用。但随着网络应用的增加,以计算机信息系统为犯罪对象和犯罪工具的各类犯罪活动不断出现。网络安全风险也不断暴露出来,其中,利用木马技术入侵、控制和破坏网络信息系统,是造成信息安全问题的典型表现之一。 传统的恶意文件检测通常使用恶意程序特征值匹配的技术,即通过提取已经发现恶意程序的特征值(通常为恶意程序某一段的二进制文件或'汇编指令流),使用模式匹配的方式对恶 意程序进行检测,这样做的好处是查杀准确,而且可以有效的将恶意程序进行定性,但是特征值需要获得并分析恶意文件样本,才可以得到,因此时间上有着滞后性为解决特征值查杀的滞后性。如何能够快速、准确、简便的分析一个应用程序,成为了一种普遍的需求。 1 木马检测系统的设计与实现 1.1 系统设计 1.1.1 系统设计原则 系统总体设计需要满足未来的木马检测发展需要,既要安全可靠,又要具有一定的先进性。在架构设计和功能模块的划分上,应充分的分析和整合项目的总体需求和预期的目标,尽量遵循高内聚、低耦合的设计原则,既要保证各个模块的独立性,也要保证模块间联系的简单性和易扩展性。
木马程序是如何实现隐藏的
木马程序是如何实现隐藏的 木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟! 1、集成到程序中 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 2、隐藏在配置文件中 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。 3、潜伏在Win.ini中 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。 4、伪装在普通文件中 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图
网页木马制作全过程(详细)
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页,经检查,我确实中了灰鸽子。怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。 一、网页木马的攻击原理 首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。 有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。 ⒈自动下载程序 小提示:代码说明 a. 代码中“src”的属性为程序的网络地址,本例中 “https://www.360docs.net/doc/6410398877.html,/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。 b. 也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe文件,黑客可能变通一下把扩展名exe改为bat或com,这样他们就可以把这些程序上传到服务器上了。 把这段代码插入到网页源代码的