結束了,但是沒有的到我想要的結果,不過我還是很高興,因爲我自己知道這是我自己的東西!
爲了留住過去,面向未來,我把這次設計的部分放在這裏,作爲我的第一次,好多的第一次!
功能簡介
① 在正常的可執行文件中添加代碼,以啓動我的木馬服務器端(server.exe);
② 服務器能將自身拷貝到系統目錄下,同時在註冊表中設置自動運行;
③ 服務器接受客戶發送的命令,如關機、重啓、終止進程等;
④ 服務器具有初步的隱藏性;
⑤ 執行鍵盤記錄,並能回傳記錄文件;
⑥ 可以傳遞文件,並能有選擇的執行文件,這樣可以利用網絡上爲數衆多的遠程控制軟件;
⑦ 本程序使用匯編完成,執行效率高,源程序小;
⑧ 客戶端(控制端)可以向服務器發送問候或通知,實現Net Send功能;
⑨ 服務器系統信息獲取;
⑩ 服務器端進程列表的獲取,並傳遞到客戶端顯示,可以根據命令來終止選中的進程。
框架概述
① 應用系統框架:
爲了更好的隱藏我的木馬,木馬程序必須很小,它完成的功能必須相對簡單,我稱它爲木馬引導程序。其實它的主要的功能就是爲了接受主要的木馬程序——大馬,這個程序是不跟木馬引導程序一起流行的,而是處在控制端的機器上,當木馬引導程序在被控制端執行後,就可以接受這個“大馬”執行主要的木馬功能了。下面簡要描述我的系統的框架:
主要包括三個部分,
一:正常可執行文件notepad.exe ——〉 notepad_new.exe(攜帶能啓動木馬引導程序的可執行文件) ——〉 啓動,功能如下:
1) 將木馬引導程序拷貝至系統目錄;
2) 在註冊表中寫入系統木馬引導程序;
3) 啓動木馬引導程序;
二:木馬引導程序server.exe ——〉 啓動,功能如下:
1) 反向連接控制端;
2) 接收任何文件,指定目錄、文件名,並有選擇的運行;
三:木馬主程序trojan.exe ——〉 啓動,功能如下:
1) 鍵盤記錄;
2) 查找、刪除文件;
3) 啓動、關閉系統;
如圖4-2所示:
|
正常的可執行文件 |
|
啓動木馬引導程序 |
|
啓動木馬主程序 |
|
木馬stub |
|
下載木馬主程序 |
|
圖4-2應用系統框架
|
由於木馬攻擊方式比較單一,爲了被控制端的程序儘可能的簡單和一些必然的原因,使用許多固定的東西,比如控制端的IP地址,木馬主程序隱藏的目錄等。這絕不是爲了避免技術上的實現原因而作的折中!這樣我搭建的木馬攻擊平臺如下所示:
搭建木馬配置平臺:
控制端——〉被控端,發送文件,d:/NetAttack/Trojan/torjan.exe,
在被控端存放爲 c:/Windows/exp1ore.exe
被控端——〉控制端,發送文件,c:/windows/RecKey.txt
在控制端存放爲d:/NetAttack/RecKey.txt
控制端——〉被控端,接受文件,d:/NetAttack/Trojan/RecKey.txt
② 通信協議框架:
數據包的組成:包頭+包數據體
包頭:
MSG_HEAD struct
dwCmdId dw ? ;命令ID
dwLength dd ? ;整個數據包長度=數據包頭部+數據包體
MSG_HEAD ends
包體:(略)
僅從圖形中簡要描述一下通信過程,如圖4-3:
