关于木马病毒程序!!!!!!!!!!

有哪位兄弟开发过木马病毒,小弟正在开发,可否与小弟交流一下?
  Email: [email protected]

解决方案 »

  1.   

    呵呵我做过木马程序啊,其实就是socket编程然后就是需要一些系统操作的知识随便做一个简单的木马很容易的
      

  2.   

    可以参考rootkit,使用自己的协议栈,这样netstat就看不到了。
      

  3.   

    http://www.yesky.com/20010525/181452.shtml
    http://www.yesky.com/20010525/181411.shtml
      

  4.   

    不访问网络当然不方便。
    不过你可以让它即便访问网络也不容易发现进程和路径(比如每次自动运行后是用零时文件访问网络的), 隐藏端口及进程jiurl作者已经有一篇精点文章,不重复说了。
    你要怕防火墙(软件)拦截的话,就将进程改成浏览器或播放器之类来迷惑用户,
    或则遍历系统的网络连接进程及相关端口,
    注入dll,接管socket通信函数(功力深厚方可练次功),
    再或则写网络驱动,接管网卡通信,让可以的信息经过防火墙!(写这个会很累的!)
      

  5.   

    写木马肯定要比写rootkit简单不知道多少倍了。如今nt下的开源rootkit已经有不少了,可以拿来借鉴一下。尤其是如何隐藏木马本身的网络连接。至于进程隐藏,实在是老话题了,hook system service、hook api,都可以,或者干脆把自己的TEB从系统调度队列里头拿掉就可以了,softice都看不出来的,不过时间长了有点问题,呵呵。
      

  6.   

    比如说这个rootkit,开源的:
    This has been tested and known to work under NT 4.0 Server (1381).
    This has been tested and known to work under Windows 2000 RC2 (2128).Note: this debug build of the rootkit generates huge amounts of debug messages.
    You can watch these with a tool such as DbgView from www.sysinternals.com (or equivalent).To test out the rootkit, copy deploy.exe and _root_.sys to a common directory.
    To install and start the rootkit, run deploy.exe.
    To start and stop the rootkit in realtime, use the following commands:net start _root_
    net stop _root_Respectively.NEWS
    ----Keyboard sniffing has been disabled for now.
    You can comment the line back in DriverEntry() if your daring.
    Keyboard sniffing actually works fine - except that it has caused a BSOD
    on one of my test machines and I didn't want to release it that way 
    until the problem could be debugged.New features:Embedded TCP/IP stack (stateless)
    ---------------------------------NT ROOTKIT has a stateless TCP/IP stack.
    It works by determining the state of the connection based on the data within the incoming packet.
    This works fine for all tests we have performed on the local segment.
    This has not yet been tested over great distances of Internet.The ROOTKIT has a hardcoded IP address to which it will respond.
    As delivered, this IP address is 10.0.0.166 - if you have a client machine
    that is configured with a 10.X address, it should be able to telnet to the rootkit.
    Keep in mind that the rootkit is using raw connections to your ethernet so it can do some amazing things.
    First you will notice that the target port does not matter. 
    You can telnet to any port and it will work. 
    Second - you will notice that multiple people can log into the rootkit at once.
    The sessions are not kept seperate but testing has shown that it seems to work quite well
    as long as two people aren't typing commands at exactly the same time.NOTE: THIS MEANS THAT ROOTKIT DOES NOT SHOW UP IN NETSTATIdeed, why would it?  It's not using the NT stack.Gotcha: The rootkit IP address has better not conflict with a real machine on your network,
    else the two will get into an ARP war - and that is not good. 
    Get this: the rootkit needs to use a unique IP address~!
    Command Shell
    -------------We have experimented with launching win32 processes from kernel mode.  This has been non-trivial. 
    We have demonstrated this working at Blackhat - but the feature is disabled in this build.
    It will be added back in for the 044 branch - but there are many kinks still being worked out.HIDE PROCESSES
    --------------Any process that starts with '_root_' will be hidden.
    This feature can be toggled on/off from the k-mode shell.
    Just login and type 'hideproc' to toggle.HIDE FILES AND DIRS
    -------------------Any directory or file that starts with '_root_' will be hidden. 
    This feature can be toggled from the k-mode shell.  Just login and type 'hidedir' to toggle.Processes that are named with a prefix of '_root_' are excempt from these rules.
    This means if your running a shell as '_root_cmd.exe' you can still see the hidden stuff.
    This means that '_root_taskmgr.exe' can still see hidden processes.
    Test EXE redirection:
    ---------------------For now, this test is hard coded.  To test, first carry out the following:Copy 'calc.exe' to C:Copy any other executable to C:\ and rename it so that the first 6 characters of the filename are '_root_'. 
    CMD.EXE was tested, so it would be ranamed to "C:\_root_cmd.exe".The rootkit will detect the execution of the filename that starts with '_root_' and redirect it to "C:\calc.exe". 
    Try executing the file and you will see that calc.exe gets executed instead.Now, with the rootkit turned off, open '_root_cmd.exe' (or equivalent) in a hex editor.
    Now start the rootkit and open it again. 
    Note that the images are exactly the same!  You are looking at the same file. 
    Now open calc.exe and verify that it is different. 
    As you can see the rootkit does not effect the ability to read a file correctly. 
    The rootkit only becomes involved when the file is executed. 
    This should fool programs that perform CRC's or Hashes of files.  
    Test Registry Hiding:
    ---------------------Any value or key that begins with the 6 letters '_root_' should be hidden
    from view. regedit.exe and regedt32.exe were tested.Additionally, any program that is running that begins with '_root_' will be
    exempt from any subterfuge - hence,
    if you make a copy of regedit.exe called '_root_regedit.exe' - the new copy
    of regedit will be able to see all of the hidden keys!  (neato)Try starting and stopping the rootkit dynamically and refreshing your view of the registry, also.
    You will see that it is working.