2022年怎么编写木马程序编写插入式木马程序 .pdf

《2022年怎么编写木马程序编写插入式木马程序 .pdf》由会员分享，可在线阅读，更多相关《2022年怎么编写木马程序编写插入式木马程序 .pdf（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、怎么编写木马程序: 编写插入式木马 程序疯狂代码 http:/CrazyC ?:http:/CrazyC -欢迎光临“ | 卌滁过詓 .o ”的空间 !-欢迎大家来到“ | 卌滁过詓 .o ”的空间 - 回踩的表示感谢 - 目前网络上最猖獗的病毒估计非木马程序莫数了，特别是在过去的2004年木马程序的攻击性也有了很大的加强，在进程隐藏方面，做了较大的改动，不再采用独立的EXE 可执行文件形式，而是改为内核嵌入方式、远程线程插入技术、挂接 PSAPI 等，这些木马也是目前最难对付的。操作步骤： 1 、通过自动运行机制查木马 一说到查找木马，许多人马上就会想到通过木马的启动项来寻找蛛丝马迹 ，具体

2、的地方一般有以下几处： 1 ）注册表启动项： 在开始/ 运行中输入 regedit.exe打开注册表编辑器，依次展开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ，查看下面所有以 Run开头的项，其下是否有新增的和可疑的键值，也可以通过键值所指向的文件路径来判断，是新安装的软件还是木马程序。 另外HKEY LOCAL MACHINESoftwareclassesexefileshellopencommand键值也可能

3、用来加载木马，比如把键值修改为 X:windowssystemABC.exe %1%。 2 ）系统服务 有些木马是通过添加服务项来实现自启动的，大家可以打开注册表编辑器，在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices下查找可疑键值，并在 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下查看的可疑主键。 然后禁用或删除木马添加的服务项：在运行中输入 Services.msc打开服务设置窗口，里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找

4、到木马所启动的服务，双击打开它，把启动类型改为已禁用，确定后退出。也可以通过注册表进行修改，依次展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 服务显示名称 键，在右边窗格中找到二进制值Start，修改它的数值数， 2 表示自动， 3 表示手动，而 4 表示已禁用。当然最好直接删除整个主键，平时可以通过注册表导出功能，备份这些键值以便随时对照。 3 ）开始菜单启动组 现在的木马大多不再通过启动菜单进行随机启动，但是也不可掉以轻心。如果发现在开始/ 程序/ 启动中有新增的项，可以右击它选择查找目标 到文件的目录下查看一下，如果文件路径为系统

5、目录就要多加小心了。也可以在注册表中直接查看，它的位置为HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders，键名为Startup 。 4 ）系统 INI 文件Win.ini 和System.ini 系统INI 文件Win.ini 和System.ini 里也是木马喜欢隐蔽的场所。选择开始/ 运行，输入 msconfig 调出系统配置实用程序，检查 Win.ini 的Windows小节下的 load 和run字段后面有没有什么可疑程序，一般情况下后面是空白的；还有在 System.ini 的bo

6、ot 小节中的 Shell=Explorer.exe后面也要进行检查。 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 3 页 - - - - - - - - - 5 ）批处理文件 如果你使用的是 WIN 9X 系统， C盘根目录下 AUTOEXEC.BAT和WINDOWS目录下的 WinStart.bat两个批处理文件也要看一下，里面的命令一般由安装的软件自动生成，在系统默认会将它们自动加载。在批处理文件语句前加上 echo off，启动时就只显示命令的执行结果，而不显

7、示命令的本身；如果再在前面加一个字符就不会出现任何提示，以前的很多木马都通过此方法运行。 2 、通过文件对比查木马 最近新出现的一种木马。它的主程序成功加载后，会将自身做为线程插入到系统进程SPOOLSV.EXE中，然后删除系统目录中的病毒文件和病毒在注册表中的启动项，以使反病毒软件和用户难以查觉，然后它会监视用户是否在进行关机和重启等操作，如果有，它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形（下面均以Win XP系统为例）： 1 ）对照备份的常用进程 大家平时可以先备份一份进程列表，以便随时进行对比查找可疑进程。方法如下：开机后在进行其他操作之前即开始备份，这

8、样可以防止其他程序加载进程。在运行中输入cmd，然后输入 tasklist /svcX:processlist.txt（提示：不包括引号，参数前要留空格，后面为文件保存路径）回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/ 进程的列表。输入 tasklist /？可以显示该命令的其它参数。 2 ）对照备份的系统 DLL 文件列表 对于没有独立进程的 DLL 木马怎么办吗？既然木马打的是DLL 文件的主意，我们可以从这些文件下手，一般系统DLL 文件都保存在 system32文件夹下，我们可以对该目录下的DLL 文件名等信息作一个列表，打开命令行窗口，利用 CD 命令进入 sys

9、tem32目录，然后输入 dir *.dllX:listdll.txt敲回车，这样所有的 DLL 文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入，可以再利用上面的方法备份一份文件列表listdll2.txt，然后利用UltraEdit等文本编辑工具进行对比；或者在命令行窗口进入文件保存目录，输入fc listdll.txtlistdll2.txt，这样就可以轻松发现那些发生更改和新增的DLL 文件，进而判断是否为木马文件。 3 ）对照已加载模块 频繁安装软件会使 system32目录中的文件发生较大变化，这时可以利用对照已加载模块的方法来缩小查找范围。在 开始/ 运行中输

10、入 msinfo32.exe打开 系统信息 ，展开 软件环境 / 加载的模块 ，然后选择 文件/ 导出把它备份成文本文件，需要时再备份一个进行对比即可。 4 ）查看可疑端口 所有的木马只要进行连接，接收/ 发送数据则必然会打开端口，DLL 木马也不例外，这里我们使用netstat 命令查看开启的端口。我们在命令行窗口中输入netstat -an显示出显示所有的连接和侦听端口。Proto 是指连接使用的协议名称， Local Address 是本地计算机的 IP地址和连接正在使用的端口号，Foreign Address 是连接该端口的远程计算机的 IP地址和端口号， State 则是表明 TCP

11、 连接的状态。 Windows XP 所带的 netstat 命令比以前的版本多了一个 -O参数，使用这个参数就可以把端口与进程对应起来。输入netstat /？可以显示该命令的其它参数。 接着我们可以通过分析所打开的端口，将范围缩小到具体的进程上，然后使用进程分析软件，例如Windows 优化大师目录下的 WinProcess.exe 程序，来查找嵌入其中的木马程序。有些木马会通过端口劫持或者端口重用的方法来进行通信的，一般它们会选择139、80等常用端口，所以大家分析时要多加注意。也可名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3 页 - - - - - - - - - 以利用网络嗅探软件（如：Commview ）来了解打开的端口到底在传输些什么数据。 ft=,ft=,ft=#99ccff, 2008-12-6 22:31:16 疯狂代码 http:/CrazyC 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -