木马技术研究第一部分

最新推荐文章于 2016-01-06 11:16:32 发布
最新推荐文章于 2016-01-06 11:16:32 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: System 文章标签: 网游 hook 网络 算法 脚本 api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/davemin/article/details/1356139
版权

木马技术研究第一部分

申明:  本文涉及到的技术只供参考研究之用,不可用于非法行为,本人不负责。


A. 写在开始
自以为编写了几年的网络通信程序,对网络很熟悉,碰到个搞UNIX的朋友,才知道我对网络不精通。
自以为研究了系统几年,对系统很熟悉,碰到个一直写驱动的朋友,才知道不用说linux, 就连win32我也不懂。
自以为算法不错,碰到个写video,audio算法的家伙,才知道我只是菜鸟。

但我还是有我独到的地方,有我熟悉而别人极少熟悉的层面。
或许只是聊以自慰,或许只是愚弄世人。


B. 现状令人堪忧
目前中国的网络现状着实令人堪忧, 可能原因是:
盗版不是非法 导至广大用户需要软件就上网找. 从而导至网页里面各种插件感染脚本,流氓软件感染脚本, 泛滥成灾...

任何用户包括我自己,也不能肯定下载下来的软件,没有恶意代码。

木马盛行的今天,我们需要反木马,但不了解木马如何反木马?


C. 木马要求
1. 因为目前市场上木马多以网页形式感染,所以木马要求越小越好,
关于文件大小参考:
http://blog.csdn.net/davemin/archive/2006/09/26/1289795.aspx

1.1. 建议:尽量不要定义Class, Struct, 和变量,少定义涵数,多使用goto;

 

2. 木马类型及相关截获数据技术浅谈
网游类: 目前网游很盛行,以前做外挂的可能现在竞争激烈了,都转到截网游账号上来了.
 而且网游涉及到装备和虚拟币,所以做截网游账号的事也是很诱人的。
浏览器类: 像很有名的网银大盗之类的都属于这一类,同时截email账号之类的等等都是这一类。
应用程序类: 比如截QQ,msn账号等等属于这一类。

2.1. Hook文本数据
但是每一类都涉及到差不多相同的技术,对于文本可以使用SetWindowsHookEx, 截获TextOutA API等等技术。
相关技术参考:
<Windows 核心编程>
SetWindowsHookEx 技术相信大家也是熟悉的。


2.2. 网游类截获网络数据包
但是对于网游类, 因为网游类根本就没有用TextOutA来渲染文本,所以不能使用截获TextOutA API等等技术, 相反
可以使用截获网络数据包,分析数据包技术来做。
对于这一点,本人强烈建议网游公司,每一个星期更新客户端程序的时候,把加密算法改一下,这样木马就没用了。

但道高一尺魔高一仗,即使网游公司这样做,相信做木马的朋友还是会想办法来解决的。

2.3. GDI对象DC比对技术
可能这个技术是相当先进的,但是非常有用的,不过可能涉及到的对象和算法非常繁锁。
原理是:Copy 一个DC对象,使用SetWindowsHookEx后,在GetMsgProc事件里面进行对比。


2.4. Hook文本数据补充 - 中文截获

在GetMsgProc里面,很多人使用事件:WM_IME_COMPOSITION
我个人以为,使用WM_IME_COMPOSITION根本没有必要,而且WM_IME_COMPOSITION,和WM_CHAR事件同时存在。
当然如果是中文p->wParam > 127

本人以为可以直接在WM_CHAR事件里面处理, 相关代码参考:
PMSG p = (PMSG)lParam;

static TCHAR tcChinese[3] = "/0";  // 定义静态数组
if( tcChinese[1] == 0 )
 tcChinese[1] = (TCHAR)p->wParam; // 208 "中"
else
{
 tcChinese[0] = (TCHAR)p->wParam; // 214 "中"
 lstrcat( g_szText, tcChinese );  // 存到全局变量里面
 tcChinese[1] = 0;   // 设置为0, 可以重新取下一个中文
}
// ASSERT( g_szText = "中" );

2.5. Hook文本数据补充 - Ctrl + V处理
PMSG p = (PMSG)lParam;

if( p->wParam == 22 )
{
TCHAR tchar[64] = "/0";
if( OpenClipboard( NULL ) )
{
 HGLOBAL hData = GetClipboardData( CF_TEXT );
 if( hData )
 {
  LPCSTR lpcszData = (LPCSTR)GlobalLock(hData);
  GlobalUnlock( hData );
  lstrcpy( tchar, lpcszData );
 }
 CloseClipboard();
}
}


3. 木马的自启动
4. 木马安装脚本
请关注第二部分.


同时欢迎VC爱好者加入QQ群, VC技术群-2: 30734090

davemin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
改进TightVNC 笔记
阿呆 - 音乐是流动的字符,字符是沉睡的阿呆
04-08 2827
2010 4.2->4.8 这一星期里我对TightVNC 1.3.10作了改进.但愿以下内容对你的调试,或者了解tightVNC 运行机制有所帮助. 目标是: 溶入到网络会议系统, p2p 模式无客户端请求数据. 带宽要求越小越好.实时性要求不是太高.可应用于大规模的网络培训, 网络教学. 如 单服务器支持的基于p2p 的上W人的网络培训. 等情况. 目前我已经实现无连接驱动
APIHOOK VC 6.0 源程序例子
阿呆 - 音乐是流动的字符,字符是沉睡的阿呆
08-24 2149
 APIHOOK VC 源程序例子, 其实也只是参考了别人的研究,Copy 了别人的代码而已。当然大家也可以完全使用我的所有代码。很久没有写东西。所以只能这样将就的搞一点东西上来。另外,以前几篇文章里面提供的源程序或者是图像URL 都无效了。我已经改好了。本例子里面实现了对TextOut 这个APIhook另外如何实现其他API, 可以自己参考这个方法:void CTestAP
Carberp木马研究资料
crystal0011的专栏
10-30 1113
Carberp / Rovnix Analysis http://go.eset.com/us/resources/white-papers/carberp.pdf http://www.welivesecurity.com/2013/03/25/carberp-the-never-ending-story/ http://www.welivesecurity.com/2011/08/23/
木马病毒检测研究方法的
04-23
木马病毒的检测研究方法, 不用杀毒软件的,可以让你快速检测到,并能迅速搞定入侵你的计算机的软件
木马研究
z1x6f8的专栏
06-10 300
电脑病毒是什么东西呢?是否会像其他病毒,如“H5N1”、“O-157大肠杆菌”、“HIV”一样对人体造成伤害呢?电脑病毒是会造成伤害,但不是对你造成伤害,而是对你的电脑系统造成一定的伤害。其实,电脑病毒是一段非常小的(通常只有几KB)会不断自我复制、隐藏和感染其他程序的程序码。它在我们的电脑里执行,并且导致不同的影响。它可把电脑里的程序或数据消失或改变。电脑病毒与其它威胁不同,它可以不需要人们的介
[转载] 之前碰过的木马分析
积累点滴,保持自我
01-06 1382
之前我有碰过有过一款国产木马。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。可以预料,在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。  由于“广外女生”这个木马的驻留、启动的方法比较具有典型性,
木马程序的技术分析与研究
海滨的世界
03-12 266
     近年来,黑客技术不断成熟起来,对网络安全造成了极大的威胁,黑客的主要攻击手段之一,就是使用木马技术,渗透到对方的主机系统里,从而实现对远程操作目标主机。 其破坏力之大,是绝不容忽视的,黑客到底是如何制造了这种种具有破坏力的木马程序呢,下面我对木马进行源代码级的详细的分析,让我们对木马的开发技术做一次彻底的透视,从了解木马技术开始,更加安全的管理好自己的计算机。   1、木马程序的分类  ...
硬件木马:关键问题研究进展及新动向
03-08
一个亟需解决的问题,有必要对其技术特点、研究现状和发展趋势进行梳理总结。本文首先简要介绍了硬件木马的基本概念.和相关技术,对硬件木马的国内外研究成果和最新工作进行了整理归纳;讨论了硬件木马研究中的关键...
PLC信息安全技术研究.pdf
12-26
PLC信息安全技术研究 发表时间:2017-11-21T10:28:31.990Z 来源:《防护工程》2017年第17期 作者: 金江伟 [导读] 鉴于工业应用的特殊性,作为PLC系统重要组成部分的工作站、服务器难以采用传统的杀毒软件等"黑名单...
《安天365安全研究》第二期.pdf
08-07
第 2 部分技术研究文章 2.1 最新勒索软件 WannaCrypt 病毒感染前清除处理及加固 2.1.1 最重要的事情 2.1.2 病毒原始文件分析 2.1.3 杀毒方法 2.1.4 安全加固 2.1.5 安全提示 2.2Joomla!3.7.0 Core com_fields 组件 ...
木马原理与现状+毕业论文
03-19
第一木马概述 - 4 - 1.1“木马”名称的由来 - 4 - 1.2木马病毒发展史 - 4 - 1.2.1第一木马 :伪装型病毒 - 4 - 1.2.2第二代木马 :AIDS型木马 - 4 - 1.2.3第三代木马网络传播性木马 - 5 - 1.3研究木马...
木马原理与现状 毕业论文
03-21
第一木马概述 - 4 - 1.1“木马”名称的由来 - 4 - 1.2木马病毒发展史 - 4 - 1.2.1第一木马 :伪装型病毒 - 4 - 1.2.2第二代木马 :AIDS型木马 - 4 - 1.2.3第三代木马网络传播性木马 - 5 - 1.3研究木马原理的...
减小Exe, DLL 的大小问题 - VC
阿呆 - 音乐是流动的字符,字符是沉睡的阿呆
09-26 3966
1. 普通Exe 文件完全可以使用下面方法: A. link标记: /nodefaultlib 代表: Ignore all default libraries包括运行时库, 都不用. 当然如果大家要用相关c运行时库的api 怎么办呢? 可以使用相关对应的API, 比如strcmpi, 使用lstrcmpi, 详细请参考下表:
反流技术之IE插件技术研究第一部分
阿呆 - 音乐是流动的字符,字符是沉睡的阿呆
01-05 3603
申明:  本文涉及到的技术只供参考研究之用,不可用于非法行为,本人不负责。A. 写在开始:继写了木马技术研究第一部分后, 我发现我的blog,PageRank上升了.最终发现中国的很多网站上摘抄我blog上的一些文章. 我写的东西很少,而能让别人摘抄, 怎么说也是一件荣幸的事. 这里只希望摘抄文章的朋友能够继续深入研究,为中国的反流反木马事业做点贡献
反流技术之IE插件技术研究第二部分
阿呆 - 音乐是流动的字符,字符是沉睡的阿呆
01-08 2424
上接: http://blog.csdn.net/davemin/archive/2007/01/05/1474858.aspx 申明:  本文涉及到的技术只供参考研究之用,不可用于非法行为,本人不负责。2.3. BHO 示例A. 下面我讲下,如何使用Microsoft Vistual Studio 6.0 中的VC 建BHO 程序。先找一个Microsoft
CRITICAL_SECTION 对性能的影响 VC十年技术群聊天笔记
阿呆 - 音乐是流动的字符,字符是沉睡的阿呆
06-16 2023
阿呆:我这几天在准备一个文字. 是关于: 烂用CRITICAL_SECTION 对性能的影响问题. 特别是服务器端程序.也许本群很多人都觉得自己会使用CRITICAL_SECTION 对象. 不错. 这很好.但我可以坦白的话,你们所有的使用几乎都是在降低性能. 有更好的方法可以少降低性能而达到使用CRITICAL_SECTION 对象的目的.很多人在多线程的程序中使用CRITICAL_
Desktop控制第二部分 - Hook Desktop
阿呆 - 音乐是流动的字符,字符是沉睡的阿呆
12-25 1727
本来今天平安夜,我是要来写点东西的,结果发现上回的文章(Desktop控制第一部分)没有人注意,也没有人有留言, 故信心大减.但我还是把: Desktop背景图设置整理一下.另外再讲一下: Hook Desktop 后的方便, 以及Hook Desktop 的实现原理.1. Desktop背景图设置由于上一篇文章没有讲的很细致, 这回补充说明一下.下面的代码是基于VC6 MFC的.
用html写一个旋转木马
最新发布
05-20
在 initCarousel 函数中,我们将第一个图像设置为活动状态,并将点击事件处理程序添加到所有控件按钮上。 在 handleControlClick 函数中,我们确定用户点击了哪个按钮,并相应地更新 current 变量。然后,我们调用 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值