这几天有机会得到一个木马程序的开发,纯技术上的尝试.
只要用处在于抓取用户的任何网站上的登陆密码/帐号,另外包括本地软件接受email时 的帐号和密码
基本实现步骤
起初第一想法是 用nids开发,数据链路层的抓取,但想了一下,这样的话解包是一个比较麻烦的事情,因为时间只有1周,而且平时我都要工作上的事情很多,不可能在工作的时候想或者做这个,那就权衡了一下用hook winsock开发,做一个系统钩子,拦截http协议中的post包 和110端口的数据报,并加以分析保存后发送到指定的邮箱
这样好处在于它是协议层的hook,不用自己分析帧什么的,直接的是数据报文,不依靠应用程序,只要是这个协议的都行
开发过程中,发现两个问题、,第一 如foxmail这些软件发送,我只能得到它的ip地址,不能得到域名,这个是个很麻烦的事情。。。第二,web上用ssl加密传输的不能得到,这个基本在底层是不能克服的。
解决方法,第一种情况再加上一个钩上gethostbyname 函数,建立自己的dns缓冲共享内存空间,再用Ip查找,虽然不能完全得到解决,因为有些软件不是用的这个函数解析域名的,但是基本解决这个问题,要不然就只有到第二层去得到数据了
第二种情况,低于应用层的方法我个人觉得肯定行不通的,只有想应用层的方法,我第一个想到的就是记录按键,但自己马上就否决了,不现实,如果是固定那个程序还有可能,但在窗体未知,键入未知,操作未知的话,基本是白费心思。而且使用什么软键盘,ctrl+v什么的都白搭
想了一会,想到了ie对外提供接口,全局循环IE窗体,得到他的接口,就可以对这个IE操作了,得到他的输入框的name,一般密码是pass开头,type="password" ,用户名是use开头的,这样基本可以得到所有这种设置的输入框的内容,继承事件消息,当onsubmit 的时候,触发消息函数,这样获得这个句柄的用户名和密码输入框的内容,这个98%就是用户输入的帐号密码了,用户也不可能有这个反应时间的,得到后就发邮件给设置帐号
缺点在于只能得到ie内核的浏览器的内容。
但基本现在以我自己的想象力就这能停留到这点了,这个木马的缺点在于不能得到pop加密传输的内容(gmail),Web方式的话就是用非ie内核的浏览器打开ssl加密或者其他加密的传输内容。如果哪位兄弟有什么好的想法可以大家一起交流一下
封装
木马肯定是要封装的,我用的方式加壳封装到一个常用的pe结构的软件里面,用远程注入到一个系统进程里面,如explorer里面,在自我复制隐藏,如果做得恨一点,可以还有一个感染其电脑上的大部分pe结构的软件。但是没有敢测试,也想了想这样肯定不好。
这个软件开发让自己对一些编程思路得到了加深或者拓宽。也是对我每天只睡5个小时左右最好的补偿吧
加油。。。。。。。。。。。。
4822
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
