结束了,但是没有的到我想要的结果,不过我还是很高兴,因为我自己知道这是我自己的东西!
为了留住过去,面向未来,我把这次设计的部分放在这里,作为我的第一次,好多的第一次!
功能简介
①
在正常的可执行文件中添加代码,以启动我的木马服务器端(
server.exe
);
②
服务器能将自身拷贝到系统目录下,同时在注册表中设置自动运行;
③
服务器接受客户发送的命令,如关机、重启、终止进程等;
④
服务器具有初步的隐藏性;
⑤
执行键盘记录,并能回传记录文件;
⑥
可以传递文件,并能有选择的执行文件,这样可以利用网络上为数众多的远程控制软件;
⑦
本程序使用汇编完成,执行效率高,源程序小;
⑧
客户端(控制端)可以向服务器发送问候或通知,实现
Net Send
功能;
⑨
服务器系统信息获取;
⑩
服务器端进程列表的获取,并传递到客户端显示,可以根据命令来终止选中的进程。
框架概述
①
应用系统框架:
为了更好的隐藏我的木马,木马程序必须很小,它完成的功能必须相对简单,我称它为木马引导程序。其实它的主要的功能就是为了接受主要的木马程序——大马,这个程序是不跟木马引导程序一起流行的,而是处在控制端的机器上,当木马引导程序在被控制端执行后,就可以接受这个“大马”执行主要的木马功能了。下面简要描述我的系统的框架:
主要包括三个部分,
一:正常可执行文件
notepad.exe ——
〉
notepad_new.exe
(携带能启动木马引导程序的可执行文件)
——
〉
启动,功能如下:
1)
将木马引导程序拷贝至系统目录;
2)
在注册表中写入系统木马引导程序;
3)
启动木马引导程序;
二:木马引导程序
server.exe ——
〉
启动,功能如下:
1)
反向连接控制端;
2)
接收任何文件,指定目录、文件名,并有选择的运行;
三:木马主程序
trojan.exe
——
〉
启动,功能如下:
1)
键盘记录;
2)
查找、删除文件;
3)
启动、关闭系统;
如图
4-2
所示:
正常的可执行文件 |
启动木马引导程序 |
启动木马主程序 |
木马stub |
下载木马主程序 |
图4-2应用系统框架
|
由于木马攻击方式比较单一,为了被控制端的程序尽可能的简单和一些必然的原因,使用许多固定的东西,比如控制端的
IP
地址,木马主程序隐藏的目录等。这绝不是为了避免技术上的实现原因而作的折中!这样我搭建的木马攻击平台如下所示:
搭建木马配置平台:
控制端——〉被控端,发送文件,
d:/NetAttack/Trojan/torjan.exe
,
在被控端存放为
c:/Windows/exp1ore.exe
被控端——〉控制端,发送文件,
c:/windows/RecKey.txt
在控制端存放为
d:/NetAttack/RecKey.txt
控制端——〉被控端,接受文件,
d:/NetAttack/Trojan/RecKey.txt
②
通信协议框架:
数据包的组成:包头
+
包数据体
包头:
MSG_HEAD struct
dwCmdId dw ? ;
命令
ID
dwLength dd ? ;
整个数据包长度
=
数据包头部+数据包体
MSG_HEAD ends
包体:(略)
仅从图形中简要描述一下通信过程,如图
4-3
: