木马编程-手把手带你进入木马的世界之木马编程

一、基础知识

1.1、木马病毒

木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事，Trojan一词的本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事)。
木马会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的办法。只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动，黑客当然不会指望用户每次启动后点击“木马”图标来运行服务端，“木马”会在每次用户启动时自动装载。Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、Win.ini、System.ini、注册表等都是“木马”藏身的好地方。木马与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。


1.2、木马程序原理


木马病毒的工作原理：一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。

1.3、一般木马种类

密码发送型木马

密码发送型木马可以在受害者不知道的情况下把找到的所有隐藏密码发送到指定的信箱，从而达到获取密码的目的，这类木马大多使用25端口发送E-mail。

键盘记录型木马

键盘记录型木马主要用来记录受害者的键盘敲击记录，这类木马有在线和离线记录两个选项，分别记录对方在线和离线状态下敲击键盘时的按键情况。

破坏性木马

顾名思义，破坏性木马唯一的功能就是破坏感染木马的计算机文件系统，使其遭受系统崩溃或者重要数据丢失的巨大损失。

代理木马

代理木马最重要的任务是给被控制的“肉鸡”种上代理木马，让其变成攻击者发动攻击的调版。通过这类木马，攻击者可以在匿名情况下使用Tenlet、ICO、IRC等程序，从而在入侵的同时隐蔽自己的足迹，谨防别人发现及自己的身份。

FTP木马

FTP木马的唯一功能就是打开21端口并等待用户连接，新FTP木马还加上了密码功能，这样只有攻击者本人知道正确的密码，从而进入对方的计算机。

反弹端口型木马

反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，正好与一般木马相反，木马定时检测控制端的存在，发现控制端上线立刻弹出主动连接领控制端打开的端口。

1.4、常见的技术

对于普通人来说，木马可谓是高深莫测，难以理解，下面就列举常用到的编程技术，揭开木马的神秘面纱

• 修改注册表技术