木馬原理實(shí)現(xiàn)
前言:本站為你精心整理了木馬原理實(shí)現(xiàn)范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢。
摘要:簡(jiǎn)易介紹“木馬”的危害性及種類,了解其從病毒中單獨(dú)剝離出來(lái)的原因,并通過(guò)vb程序?qū)崿F(xiàn)來(lái)詳細(xì)闡述其工作原理。
關(guān)鍵詞:木馬;VB;注冊(cè)表;應(yīng)用程序
“木馬”原指古希臘士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。許多計(jì)算機(jī)用戶特別是新手對(duì)安全問(wèn)題了解不多,所以并不知道自己的計(jì)算機(jī)中了“木馬”之后應(yīng)該如何清除。關(guān)鍵是得知道“木馬”的工作原理,在了解其原理之后,查殺木馬也就變得簡(jiǎn)單易行了。
1木馬分類
(1)遠(yuǎn)程控制木馬。
遠(yuǎn)程控制木馬是數(shù)量最多,危害最大,同時(shí)知名度也最高的一種木馬,它可以讓攻擊者完全控制被感染的計(jì)算機(jī),攻擊者可以利用它完成一些甚至連計(jì)算機(jī)主人本身都不能順利進(jìn)行的操作。
(2)密碼發(fā)送木馬。
密碼發(fā)送型的木馬是專門(mén)為了盜取被感染計(jì)算機(jī)上的密碼而編寫(xiě)的,木馬一旦被執(zhí)行,就會(huì)自動(dòng)搜索內(nèi)存,Cache,臨時(shí)文件夾以及各種敏感密碼文件,一旦搜索到有用的密碼,木馬就會(huì)利用免費(fèi)的電子郵件服務(wù)將密碼發(fā)送到指定的郵箱。
(3)鍵盤(pán)記錄木馬。
這種特洛伊木馬就是記錄受害者的鍵盤(pán)敲擊并且在LOG文件里查找密碼,隨著Windows的啟動(dòng)而啟動(dòng)。
(4)DoS攻擊木馬。
隨著DoS攻擊越來(lái)越廣泛的應(yīng)用,被用作DoS攻擊的木馬也越來(lái)越流行起來(lái)。當(dāng)你入侵了一臺(tái)機(jī)器,給他種上DoS攻擊木馬,那么日后這臺(tái)計(jì)算機(jī)就成為你DoS攻擊的最得力助手了。
(5)FTP木馬。
這種木馬可能是最簡(jiǎn)單的木馬了,其歷史悠久,它的惟一功能就是打開(kāi)21端口,等待用戶連接。現(xiàn)在新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進(jìn)人用戶計(jì)算機(jī)。
(6)反彈端口型木馬。
反彈端口型木馬的服務(wù)端(被控制端)使用主動(dòng)端口,客戶端(控制端)使用被動(dòng)端口。木馬定時(shí)監(jiān)測(cè)控制端的存在,發(fā)現(xiàn)控制端上線立即彈出端口主動(dòng)連結(jié)控制端打開(kāi)的主動(dòng)端口。
2木馬的工作原理
(1)木馬的隱藏。
下面是一個(gè)用vb編輯的木馬程序,用于隱藏木馬。
程序的具體編制操作如下:
①新建一個(gè)工程名命名為Hidden,在工程hidden中添加模塊Modulel,應(yīng)用程序標(biāo)題也改為Hidden。
在模塊Module1中加入如下聲明:
PublicDeclareFunctionGetCurrentProcessIdLib“kernel32”()AsLong
''''獲得當(dāng)前進(jìn)程ID函數(shù)的聲明。
PublicDeclareFunctionRegisterServiceProcessLib“kernel32”(ByValProcessIdAsLong,ByValServiceFlagsAsLong)AsLong
''''在系統(tǒng)中注冊(cè)當(dāng)前進(jìn)程ID函數(shù)的聲明。
②在Project1中新建一個(gè)窗體Form1,設(shè)置Form1的屬性:
form1.Visible=False
form1.ShowInTaskBar=False
在代碼窗口添加如下代碼:
PrivateDeclareFunctionGetDriveTypeLib“kernel32”Alias“GetDriveTypeA”(ByValnDriveAsString)AsLong
''''獲得當(dāng)前驅(qū)動(dòng)器類型函數(shù)的聲明。
PrivateDeclareFunctionGetVolumeInformationLib“kernel32”Alias“GetVolumeInformationA”(ByVallpRootPathNameAsString,ByVallpVolumeNameBufferAsString,ByValnVolumeNameSizeAsLong,lpVolumeSerialNumberAsLong,lpMaximumComponentLengthAsLong,lpFileSystemFlagsAsLong,ByVallpFileSystemNameBufferAsString,ByValnFileSystemNameSizeAsLong)AsLong''''獲得當(dāng)前驅(qū)動(dòng)器信息函數(shù)的聲明:
PrivateSubForm_Load()
Dimdrive_noAsLong,drive_flagAsLong
Dimdrive_chrAsString,drive_diskAsString
Dimserial_noAsLong,kkkAsLong
Dimstemp3AsString,dflagAsBoolean
DimstrlabelAsString,strtypeAsString,strcAsLong
RegisterServiceProcessGetCurrentProcessId,1''''從系統(tǒng)中取消當(dāng)前進(jìn)程:
strlabel=String(255,Chr(0))
strtype=String(255,Chr(0))
stemp3=“用戶c盤(pán)序列號(hào)”''''用戶C盤(pán)的序列號(hào)(十進(jìn)制),讀者可根據(jù)自己情況給出。
dflag=False
Fordrive_no=0To25
drive_disk=Chr(drive_no+67)
drive_chr=drive_disk&“:/”
drive_flag=GetDriveType(drive_chr)
Ifdrive_flag=3Then
kkk=GetVolumeInformation(drive_chr,strlabel,Len(strlabel),serial_no,0,0,strtype,Len(strtype))''''通過(guò)GetVolumeInformation獲得磁盤(pán)序列號(hào):
SelectCasedrive_no
Case0
strc=serial_no
EndSelect
Ifserial_no=stemp3Then
dflag=True
ExitFor
EndIf
EndIf
Nextdrive_no
Ifdrive_no=26Anddflag=FalseThen''''非法用戶
GoToerr:
EndIf
MsgBox(“HI,合法用戶!”)
ExitSub
err:
MsgBox(“錯(cuò)誤!你的C:盤(pán)ID號(hào)是”&strc)
EndSub
PrivateSubForm_Unload(CancelAsInteger)
RegisterServiceProcessGetCurrentProcessId,0''''從系統(tǒng)中取消當(dāng)前程序的進(jìn)程:
EndSub
(2)木馬的啟動(dòng)。
“木馬”的啟動(dòng)方式有很多種,這里我們介紹幾種主要的:
①在Win.ini的[windows]字段中有啟動(dòng)命令“l(fā)oad=”和“run=”,在一般情況下“=”后面是空白的,如果有后跟程序,比方說(shuō)是這個(gè)樣子:
run=c:/windows/file.exeload=c:/windows/file.exe
②在system.ini文件中,在[BOOT]下面有個(gè)“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”。
③在注冊(cè)表中的情況最復(fù)雜,通過(guò)regedit命令打開(kāi)注冊(cè)表編輯器,在點(diǎn)擊至:“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”目錄下,查看鍵值中有沒(méi)有自己不熟悉的自動(dòng)啟動(dòng)文件,擴(kuò)展名為EXE。
參考文獻(xiàn)
[1]孫鋒.網(wǎng)絡(luò)安全與防黑技術(shù)[M].北京:機(jī)械工業(yè)出版社,2004.
[2]齊鋒.VisualBasic6.0程序設(shè)計(jì)[M].北京:中國(guó)鐵道出版社,2003.
