一个简单木马程序的设计与开发
摘 要
随着互联网技术的迅猛发展,网络给人们带来了很多便利,但是也带来了许多麻烦。各种网页木马,后门,下载者,病毒,利用各种漏洞,U盘,社会工程学在网上横行,给广大用户带来了重要资料丢失,提前泄密,照片被人恶意传播到网上,系统被格盘,系统被监视,摄像头被人暗中开启并录像等非常严重的后果。
本毕业设计使用VC++6.0为开发平台设计的一个简单的木马程序,功能包括:键盘记录,并定时把邮件内容成功发送到某邮箱中,关闭某些防火墙和杀毒软件,开机自动隐藏运行,开启2233端口取得CMD权限,实现对目标机器的文件操作,开启3389端口,并替换系统目录下的sethc.exe为cmd.exe,实现登录不要密码,添加管理员等功能。并可利用MS06-014或MS07-004等漏洞在没打补丁没杀毒软件或是杀毒软件没更新的windows2000,windowsXP,windows2003机子上实现通过网页传播。http://www.16sheji8.cn/
关键词:键盘记录;木马;目标主机
The Design and Development of a Simple Trojan horse
Abstract
With the rapid development of Internet technology, the network has posed many conveniences, but it also brings a lot of trouble. Various website Trojan, backdoor, downloading, viruses, using various loopholes, U disk, social engineering, is pervasive on the Internet. For the majority of users, it will bring on important information missed and early leaked, photograph maliciously spread to the Internet, the system trays System being watched, cameras opened and other very serious consequences.
In this design, a simple Trojan horse is developed with Visual C++ 6.0,it’s functions include :Disk recording, Timing sends the content of the mail item sent to a successful mail, Close of certain firewall and anti-virus software, Automatically and hidden operation after booted, Open the 2233 port and get the CMD authority to operate the target machine's papers, Open the 3389 port and replace sethc.exe of cmd.exe under the system directory to realize when you login system the password is not necessary and add administrators. On the other side , the function also include: Utilizing MS06-014 or MS07-004 and other loopholes, The Trojan horse can spread on Internet through the website ,which did not patch the system or anti-virus software ,or not update Windows 2000 windows XP, Windows 2003 in-time.
Key words: Disk recording; Trojan; Targets mainframe
目 录
论文总页数:21页
1 前言 1
1.1 课题背景 1
1.2 国内外研究现状 1
1.3 本课题研究的意义 2
1.4 本课题的研究方法及目标 2
2 系统分析 3
2.1 需求分析 3
2.1.1 程序要求 3
2.1.2 辅助程序图 3http://www.16sheji8.cn/
2.1.3 木马程序功能说明 4
3 程序设计 4
3.1 辅佐程序设计 4
3.2 木马程序设计 7
3.2.1执行命令模块 7
3.2.2键盘记录模块 9
3.2.3关闭进程模块 12
3.2.4网页木马模块 14
4 程序及其变形的分析及防范措施 15
4.1 一般木马的分析及防范 15
4.2 常见防范方法 16
结 论 18
参考文献 19
致 谢 20
声 明 21
1 前言
1.1 课题背景
随着互联网技术的迅猛发展,网络给人们带来了很多便利,但是也带来了许多麻烦。各种网页木马,后门,下载者,病毒,利用各种系统漏洞,网站漏洞,程序漏洞,邮箱漏洞,U盘及社会工程学等在网上横行,给广大用户带来了重要资料丢失,机密文件提前泄密,邮箱帐号,游戏帐号,各类照片被人恶意修改后传播到网上,系统被格盘,系统被监视,摄像头被人暗中开启并录像传播等非常严重的后果。使得许多朋友,闻木马,就变色。为了使更多朋友了解木马病毒,通过编写一个简单的木马,来分析它及其的变形,提出相应的防范措施。
1.2 国内外研究现状
从有关的资料看,国内外的windows系统下的木马,功能已经从简单发展到全面,大致包括以下功能:上传下载文件,删除文件,复制文件,粘贴文件,文件编辑,文件重命名,文件剪切,新建文件,修改文件,修改文件的创建时间等;获得目标主机名,IP地址,以及目标主机地理位置,系统打了多少补丁,安装了些什么软件,MAC地址,安装了几个处理器,内存多大,网速多快,系统启动时间,系统目录,系统版本等; 取得目标主机的CMD权限,添加系统管理员,对目标主机进行注册表操作,开启目标主机3389端口,软件自动更新,使目标主机成为HTTP,SOCK5代理服务器,对目标主机的服务进行操作,对目标主机的开机自启动项进行操作,目标主机主动向控制端发起连接,也可主动向目标主机发起连接等,暗中打开用户摄像头,监控,录制用户隐私生活,对用户进行屏幕监控等。
木马的隐蔽性更强了,从原来的单纯隐藏在某个目录中,发展到了替换系统文件,修改文件修改时间等。http://www.16sheji8.cn/
木马从EXE文件靠注册表启动,发展到了DLL文件远程线程插入,替换修改系统DLL文件,靠驱动文件等高级水准,更有写入系统核心中的。木马深藏在系统中,甚至在许多杀毒软件启动前启动,或者是绑定到杀毒软件上,或者修改杀毒软件规则,使得杀毒软件误以为它是合法文件,或者是将木马DLL文件插入到WINLOGON.EXE中,以至于在安全模式下也无法删除。有的病毒会在系统部分盘中,创建Autorun.inf文件,然后把病毒也复制到该目录下隐藏着,使得用户双击该盘时,运行该病毒,对此,某些用户格式化了系统盘再重装系统,也无法删除它。更有木马,病毒会感染某些盘中的EXE文件,COM文件,使得用户重装系统后,运行该文件后又运行病毒。
木马中招的方式包括:访问不安全网站,访问某些被入侵后的安全网站,在不同机子上使用U盘,通过U盘传播的木马病毒也越来越多,对系统或是一般程序进行溢出后,上传木马,对网络中的主机进行漏洞扫描,然后利用相关漏洞自动传播,利用邮箱漏洞配合网页木马,使用户中招,直接通过QQ等聊天软件传给用户,并叫其运行,在QQ等聊天软件中发布网址给好友,好友不知情下点击中招,通过物理接触主机以及远程破解主机密码等手段中招。
木门在被杀毒软件查杀后,一般马上就会有变种或是升级版本流传,通过对木马进行加壳,修改木马特征码,修改程序等手段使木马免杀。木马还包括ASP和PHP以及ASPX,JSP木马,它们能过网页的形式存在,也可以有很多功能,如常见的ASP木马就有如下功能:登录验证,上传下载文件,删除,复制,移动,编辑文件,新建文件,新建目录,搜索文件,更改文件名,查看文件修改时间,serv_u漏洞提权,查看服务器信息,查看环境变量,注册表操作,探查网站是否支持PHP,查找网站上已经存在的木马,包括已经加密后的,对服务器上所有盘的文件操作,对数据库进行操作,对网站文件进行打包以及解包,实现单页代理,进行cmd命令行操作,对整站进行挂马等功能。而简单的ASP,PHP,ASPX,JSP木马,则只有一句话。http://www.16sheji8.cn/
1.3 本课题研究的意义
通过对木马病毒及其变形的分析,提出可行的防范措施,使更多的用户了解木马病毒,了解防火墙,了解杀毒软件,了解常给系统打补丁的作用,以及加密保管重要文件,机密文件脱机保管的重要性。
