木马教程简述木马攻击的步骤。

怎样编写木马病毒

木马是如何编写的（一） 特洛依木马这个名词大家应该不陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷，使在Dos??Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。

我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！呵呵，要知道，木马（Trojan）的历史是很悠久的：早在AT&T Unix和BSD Unix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取得更高的权限。

那时木马的主要方法是诱骗??先修改你的.profile文件，植入木马；当你登陆时将你敲入的口令字符存入一个文件，用Email的形式发到攻击者的邮箱里。

国内的年轻人大都是在盗版Dos的熏陶下长大的，对网络可以说很陌生。

直到Win9x横空出世，尤其是WinNt的普及，大大推动了网络事业的发展的时候，BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马（甚至在Win9x的“关闭程序”对话框可以看到进程）给了当时中国人极大的震撼，它在中国的网络安全方面可以说是一个划时代的软件。

自己编写木马，听起来很Cool是不是？！木马一定是由两部分组成??服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。

为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

首先是编程工具的选择。

目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈??难道你还给受害者传一个1兆多的动态链接库??Msvbvm60.dll吗？ 启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是页中的Server Socket，另两个是页中的NMFTP和NMSMTP。

Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。

Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和SMTP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。

不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。

因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

我们首先应该让我们的程序能够隐身。

双击Form，首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。

这看起来很神秘，其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。

因此，只要将我们的程序在进程数据库中用RegisterServiceProcess()函数注册成服务进程（Service Process）就可以了。

不过该函数的声明在Borland预先打包的头文件中没有，那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。

首先判断目标机的操作系统是Win9x还是WinNt： { DWORD dwVersion = GetVersion(); // 得到操作系

怎么编程木马？

如果您了解计算机语言中任何一门系统级语言，那么恭喜阁下，因为这已经很简单了，您只需了解系统原理。

然后用c++函数写，我只提供思路，不给代码，否则会被人指着鼻子骂 首先你要了解杀毒软件的工作原理，大多杀毒软件的方法也是截取api函数 来判断的，再者就是 判断程序代码，如果要做出高质量的 病毒程序 您不能使用windows api 只能用自带函数，当然 汇编是您不二选择，但是考虑到汇编难度太大，那么c++和delphi是您的第二选择，vb排最后。

做病毒首先得 想办法运行他，运行程序的方法有很多，您可以以网页加载activex控件的方式后台下载并执行，也可以捆绑到其他软件中，当该软件下载安装时 病毒自动执行，其三 ，为了更好的隐藏。

你不能让病毒列出单独的进程。

当然，您也不能隐藏进程和提高权限，这都是比较笨的方法， 最好的方法就是注入到其他进程，但是注入会被杀毒软件发现，那么就要用到前面提到的知识了。

切忌使用api。

你可以注册到 系统必须的文件，那么就可以确保病毒永久的存在。

比如您可以注入到 explorer.exe这个进程中，这样的话 你不用让病毒随着 系统启动而启动，当然你的技术够好的话，您可以使用wdk开发来守护内存和监视独软，wdk是驱动程序，权限高于 系统服务，更不用说 应用层的东西了，杀毒软件的很多进程是system权限的，很大程度上 和系统服务差不多，只是不允许结束。

但是wdk则更高一层，所以他可以在毒软 进驻内存前 首先进驻，然后保护病毒无法被杀，反而 杀毒软件被反杀。

了解了这些 你就可以编码了，当然 您可以写的更详细，比如关联EXE 文件，关联文件夹选项，用户没运行一个程序 你的毒软就注入一次，每打开一个文件夹就创建一个假的映像。

等等的。

祝君好运，如果阁下要做个 菜鸟级别的，那我建议阁下下载工具生成吧。

简述木马攻击的步骤。

=================== 抓你系统或软件漏洞入你电脑，偷读你信息，发给别人。

1.?配置木马? 一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：? （1）木马伪装：木马配置程序为了在服务端尽可能好的隐藏木马，会采用多种伪装手段，如修改图标、捆绑文件、定制端口、自我销毁等等。

? （2）信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址、IRC号、ICQ号等。

? 2.?传播木马? （1）传播方式? 木马的传播方式主要有两种：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

? （2）伪装方式? 鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的。

因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。

一般来说有以下几种：? ①.修改图标? 也许你会在E-MAIL的附件中看到一个很平常的文本图标，但是我不得不告诉你，这也有可能是个木马程序，现在已经有木马可以将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标，这有相当大的迷惑性，但是目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆、疑神疑鬼的。

? ②.捆绑文件? 这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。

至于被捆绑的文件一般是可执行文件，即EXE、COM一类的文件。

? ③.出错显示? 有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。

当服务端用户打开木马程序时，会弹出一个错误提示框——这当然是假的，错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。

? ④.定制端口? 很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024——65535之间任选一个端口作为木马端口。

一般不选1024以下的端口，这样就给判断所感染木马类型带来了麻烦。

? ⑤.自我销毁? 这项功能是为了弥补木马的一个缺陷。

我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件的C:WINDOWS或C:WINDOWSSYSTEM目录下，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的，捆绑文件的木马除外。

那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小去系统文件夹找相同大小的文件，?判断一下哪个是木马就行了。

而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。

? ⑥.木马更名? 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，按图索骥在系统文件夹查找特定的文件，就可以断定中了什么木马。

所以现在有很多木马都允许控?制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

? 3．运行木马? 服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。

首先将自身拷贝到WINDOWS的系统文件夹中C:WINDOWS或C:WINDOWSSYSTEM目录下。

然后在注册表、启动组、非启动组中设置好木马的触发条件，这样木马的安装就完成了。

安装后就可以启动木马了。

? 由触发条件激活木马? 触发条件是指启动木马的条件，大致出现在下面八个地方：? ①注册表? 打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run和RunServices主键，在其中寻找可能是启动木马的键值。

? ②WIN.INI? C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在windows字段中有启动命令load=和run=，在一般情况下是空白的，如果有启动程序，可能是木马。

? ③SYSTEM.INI? C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在386Enh、mic、drivers32中有命令行，在其中寻找木马的启动命令。

? ④Autoexec.bat和Config.sys? 在C盘根目录下的这两个文件也可以启动木马。

但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

? ⑤*.INI? 即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

? ⑥注册表? 打开HKEY_CLASSES_ROOT文件类型shellmand主键，查看其键值。

举个例子，国产木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellmand下的键值，将“C:WINDOWS?NOTEPAD.EXE?％1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE?％1”，这时你双击一个TXT文件后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。

还要说明的是不光是TXT文件，通过修改HTML、EXE、ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile，ZIP是WINZIP，大家可以试着去找一下。

? ⑦捆绑文件? 实现这种触发条件首先要控制端和服务端通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

? ⑧启动菜单? 在“开始—程序—启动”选项下也可能有木马的触发条件。