网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 木马 > 文章  
揭开木马的神秘面纱(一)
文章来源: yesky 文章作者: shotgun 发布时间: 2001-05-25   字体: [ ]
 

 

二、控制篇(木马控制了这个世界!)

 

由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)

 

因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述, 主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数, 请查询WinAPI手册。

 

1.       远程监控(控制对方鼠标、键盘,并监视对方屏幕)

 

   keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)

   mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI)

   mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)

 

dwFlags: 

   MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。

   MOUSEEVENTF_MOVE 移动鼠标

   MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下

   MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起

   MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下

   MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下

   MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下

   MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下

dx,dy:

   MOUSEEVENTF_ABSOLUTE中的鼠标坐标

 

2.       记录各种口令信息(出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)

 

3.       获取系统信息

 

a)        取得计算机名  GetComputerName

b)        更改计算机名  SetComputerName

c)         当前用户    GetUserName函数

d)        系统路径

 

Set FileSystem0bject = CreateObject("Scripting.FileSystemObject")(建立文件系统对象)

Set SystemDir = FileSystem0bject.getspecialfolder(1) (取系统目录)

Set SystemDir = FileSystem0bject.getspecialfolder(0) (Windows安装目录)

 

 (友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)

 

e)        取得系统版本  GetVersionEx(还有一个GetVersion,不过在32windows下可能会有问题,所以建议用GetVersionEx

 

f)          当前显示分辨率

 

Width = screen.Width \ screen.TwipsPerPixelX

Height= screen.Height \ screen.TwipsPerPixelY

 

其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws"垃圾站"-注册表

 

比如计算机名和计算机标识吧:

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP

 

中的

 

Comment,ComputerNameWorkGroup注册公司和用户名:

 

HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo

 

至于如何取得注册表键值请看第6部分

 

4.       限制系统功能

 

a)        远程关机或重启计算机,使用WinAPI中的如下函数可以实现:

 

    ExitWindowsEx(ByVal uFlags,0)

    当uFlags=0 EWX_LOGOFF 中止进程,然后注销

       =1 EWX_SHUTDOWN 关掉系统电源

       =2 EWX_REBOOT  重新引导系统

       =4 EWX_FORCE  强迫中止没有响应的进程

   

b)        锁定鼠标

 

    ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以

    

    注:RECT是一个矩形,定义如下:

 

    Type RECT

       Left As Long

       Top As Long

       Right As Long

       Bottom As Long

    End Type

 

c)         锁定系统 这个有太多的办法了,嘿嘿,Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的......

 

d)        让对方掉线 RasHangUp......

e)        终止进程  ExitProcess......

f)          关闭窗口  利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口

 

5.       远程文件操作

 

无论在哪种编程语言里, 文件操作功能都是比较简单的, 在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现

 

6.       注册表操作

 

   在VB中只要Set RegEdit=CreateObject"WScript.Shell")

   就可以使用以下的注册表功能:

   删除键值:RegEdit.RegDelete RegKey

   增加键值:RegEdit.Write   RegKey,RegValue

   获取键值:RegEdit.RegRead  (Value)

   记住,注册表的键值要写全路径,否则会出错的。

 

7.       发送信息

 

很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。

 

8.       点对点通讯

  

呵呵,这个嘛随便去看看什么聊天软件就行了

(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东,困惑......)

 

9.       换墙纸

 

Call SystemParametersInfo(20,0,"BMP路径名称",&H1)

值得注意的是,如果使用了Active Desktop,换墙纸有可能会失败,遇到这种问题,请不要找冰河和我,去找比尔盖子吧。

 

 
推荐文章
·木马免杀技术大盘点与杀毒软件设
·拒绝不速之客入侵 拆穿木马伪装
·黑手揭秘:与BT下载的捆马者来一
·黑客终极案例之黑神五法秘行江湖
·木马综述篇:通通透透看木马
·“灰鸽子”网页木马从原理、制作
·特洛伊木马原理分析
·解析危险的特洛伊木马
 

 
共6页: 上一页 [1] 2 [3] [4] [5] [6] 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·木马综述篇:通通透透看
·查杀木马: Trojan-spy.w
·特洛伊木马原理分析
·什么是特洛伊木马?
·解析危险的特洛伊木马
·“灰鸽子”病毒手工清除
·“灰鸽子”网页木马从原
·黑客终极案例之黑神五法
相关分类
相关文章
·特洛伊木马原理分析
·解析危险的特洛伊木马
·什么是特洛伊木马?
·“灰鸽子”网页木马从原
·知已知彼 远程监控软件
·最新威胁“灰鸽子2005”
·“灰鸽子”病毒手工清除
·木马综述篇:通通透透看
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $