本文介绍了一款自制的简易木马,包括其连接方式、自启动机制及隐藏手段。木马具备基本远程控制功能,如文件上传下载、目录查询等。文章详细说明了各组成部分的作用及其工作原理。
一个2年前我做着玩的木马,技术含量不高。由于我把注意力放在木马的隐藏和自启方式,所以功能不强,只有最基本的上传下载,目录查询,远程启动应用程序,远程命令执行等,远程函数调用没有完成,控制端未完善。
1、连接方式
采用被动连接和反弹端口两种连接方式。先以反弹端口的方式连接,如果失败转入监听状态,超时时间可以自己设定。
2、自启动方式
启动功能是作为explorer的右键插件运行,当explorer启动时就会被加裁。
3、隐藏方式
user32.dll包函了所有控制功能,它以远程线程的方式寄生在指定的进程中。如,QQ、ie等等,可以在编译前自己设定。
各文件功能介绍:
一共包涵六个文件,bind.exe、MainCtrl.dll、user32.dll、insert.dll、木马绑定器、木马控制端。这些件分
别对应六个工程。
bind.exe:是一个释放器,将其所附带的其它三个文件(mainctrl.dll,user32.dll,insert.dll)以隐藏方式释放到
系统目录下,并将执行权交给MainCtrl.dll。
MainCtrl.dll 是主控制程序。它每隔一定的时间检查各进程是否有MainCtrl.dll,如果没有则植入MainCtrl.dll。
同时检查指定的进程是否有user32.dll,没有则植入。最后向系统注册insert.dll文件。
user32.dll 负责与控制端通信,接受命令并做出响应。
insert.dll explorer.exe 右键插件,在资源管理器中每单击右键一次就会执行一次。
木马绑定器 将mainctrl.dll user32.dll insert.dll 绑定到bind.exe中,生成最终的文件。
木马控制端 做的很粗糙。
删除方法:进安全模式,删除系统目录(windows/system32)下以上四个文件。
注:只要任一文件被运行,其于几个都会被恢复。 源码下载
1、连接方式
采用被动连接和反弹端口两种连接方式。先以反弹端口的方式连接,如果失败转入监听状态,超时时间可以自己设定。
2、自启动方式
启动功能是作为explorer的右键插件运行,当explorer启动时就会被加裁。
3、隐藏方式
user32.dll包函了所有控制功能,它以远程线程的方式寄生在指定的进程中。如,QQ、ie等等,可以在编译前自己设定。
各文件功能介绍:
一共包涵六个文件,bind.exe、MainCtrl.dll、user32.dll、insert.dll、木马绑定器、木马控制端。这些件分
别对应六个工程。
bind.exe:是一个释放器,将其所附带的其它三个文件(mainctrl.dll,user32.dll,insert.dll)以隐藏方式释放到
系统目录下,并将执行权交给MainCtrl.dll。
MainCtrl.dll 是主控制程序。它每隔一定的时间检查各进程是否有MainCtrl.dll,如果没有则植入MainCtrl.dll。
同时检查指定的进程是否有user32.dll,没有则植入。最后向系统注册insert.dll文件。
user32.dll 负责与控制端通信,接受命令并做出响应。
insert.dll explorer.exe 右键插件,在资源管理器中每单击右键一次就会执行一次。
木马绑定器 将mainctrl.dll user32.dll insert.dll 绑定到bind.exe中,生成最终的文件。
木马控制端 做的很粗糙。
删除方法:进安全模式,删除系统目录(windows/system32)下以上四个文件。
注:只要任一文件被运行,其于几个都会被恢复。 源码下载
扫一扫
4646
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
