一个简单木马程序的设计与开发
1 前言 1.1 课题背景随着互联网技术的迅猛发展，网络给人们带来了很多便利，但是也带来了许多麻烦。

各种网页木马，后门，下载者，病毒，利用各种系统漏洞，网站漏洞，程序漏洞，邮箱漏洞，U 盘及社会工程学等在网上横行，给广大用户带来了重要资料丢失，机密文件提前泄密，邮箱帐号，游戏帐号，各类照片被人恶意修改后传播到网上，系统被格盘，系统被监视，摄像头被人暗中开启并录像传播等非常严重的后果。

使得许多朋友，闻木马,就变色。

为了使更多朋友了解木马病毒，通过编写一个简单的木马,来分析它及其的变形，提出相应的防范措施。

1.
2 国内外研究现状从有关的资料看，国内外的windows系统下的木马，功能已经从简单发展到全面，大致包括以下功能：上传下载文件，删除文件，复制文件，粘贴文件，文件编辑，文件重命名，文件剪切，新建文件，修改文件，修改文件的创建时间等；获得目标主机名，IP地址，以及目标主机地理位置，系统打了多少补丁，安装了些什么软件，MAC地址，安装了几个处理器，内存多大，网速多快，系统启动时间，系统目录，系统版本等；取得目标主机的CMD权限，添加系统管理员，对目标主机进行注册表操作，开启目标主机3389端口，软件自动更新，使目标主机成为HTTP，SOCK5代理服务器，对目标主机的服务进行操作，对目标主机的开机自启动项进行操作，目标主机主动向控制端发起连接，也可主动向目标主机发起连接等，暗中打开用户摄像头，监控，录制用户隐私生活，对用户进行屏幕监控等。

木马的隐蔽性更强了，从原来的单纯隐藏在某个目录中，发展到了替换系统文件，修改文件修改时间等。

木马从EXE文件靠注册表启动，发展到了DLL文件远程线程插入，替换修改系统DLL文件，靠驱动文件等高级水准，更有写入系统核心中的。

木马深藏在系统中，甚至在许多杀毒软件启动前启动，或者是绑定到杀毒软件上，或者修改杀毒软件规则，使得杀毒软件误以为它是合法文件，或者是将木马DLL文件插入到WINLOGON.EXE 中，以至于在安全模式下也无法删除。

有的病毒会在系统部分盘中，创建Autorun.inf文件，然后把病毒也复制到该目录下隐藏着，使得用户双击该盘时，运行该病毒，对此，某些用户格式化了系统盘再重装系统，也无法删除它。

更有木马，病毒会感染某些盘中的EXE文件，COM文件，使得用户重装系统后，运行该文件后又运行病毒。

木马中招的方式包括：访问不安全网站，访问某些被入侵后的安全网站，在不同机子上使用U盘，通过U盘传播的木马病毒也越来越多，对系统或是一般程序进行溢出后，上传木马，对网络中的主机进行漏洞扫描，然后利用相关漏洞自动传播，利用邮箱漏洞配合网页木马，使用户中招，直接通过QQ等聊天软件传给用户，并叫其运行，在QQ等聊天软件中发布网址给好友，好友不知情下点击中招，通过物理接触主机以及远程破解主机密码等手段中招。

木门在被杀毒软件查杀后，一般马上就会有变种或是升级版本流传，通过对木马进行加壳，修改木马特征码，修改程序等手段使木马免杀。

木马还包括ASP和PHP以及ASPX，JSP木马，它们能过网页的形式存在，也可以有很多功能，如常见的ASP木马就有如下功能：登录验证，上传下载文件，删除，复制，移动，编辑文件，新建文件，新建目录，搜索文件，更改文件名，查看文件修改时间，serv_u漏洞提权，查看服务器信息，查看环境变量，注册表操作，探查网站是否支持PHP，查找网站上已经存在的木马，包括已经加密后的，对服务器上所有盘的文件操作，对数据库进行操作，对网站
文件进行打包以及解包，实现单页代理，进行cmd命令行操作，对整站进行挂马等功能。

而简单的ASP，PHP，ASPX，JSP木马，则只有一句话。

1.3 本课题研究的意义通过对木马病毒及其变形的分析，提出可行的防范措施，使更多的用户了解木马病毒，了解防火墙，了解杀毒软件，了解常给系统打补丁的作用，以及加密保管重要文件，机密文件脱机保管的重要性。

1.4 本课题的研究方法及目标编写一个简单木马，通过网页传播，使用户了解其功能，传播方法，删除方法，危害性以及其变形后的可能情况。

要实现以下目标：
1. 记录用户键盘输入
2. 获取本机IP地址
3. 添加管理员admin$密码admin888
4. 替换系统目录下的sethc.exe为cmd.exe
5. 关闭常见的防火墙，杀毒软件
6. 打开3389端口
7. 定时向指定邮箱发送邮件，内容为IP地址和键盘输入 8. 打开设定端口，取得目标主机的CMD权限 9. 把程序安装成系统服务，实现开机自启动 10. 使用MS06-014网页木马
11. 编写两个辅助程序 2 需求分析
2.1 程序要求木马要求有如下功能：记录具有某些关健字的键盘输入，关闭杀毒软件防火墙，定时向指定邮箱发送邮件，添加系统管理员，替换系统目录下sethc.exe为cmd.exe,打开3389端口，打开用户设定端口，开启CMD 权限，把程序自身复制到系统目录下，并设为系统服务实现开机自启动，获取本机IP地址。

通过网页木马下载并运用该木马程序，网页可用MS06-014或者是MS07-004以及更新的漏洞，实现对未打补丁，杀毒软件，防火墙久未更新的系统中招。

配置程序能对邮箱地址进行测试，能设定发信时间，能设定直接连接端口。

目录论文总页数：21页 1 前言 1 1.1 课题背景 1
1.2 国内外研究现状 1 1.3 本课题研究的意义 2 1.4 本课题的研究方法及目标 2 2 系统分析 3
2.1 需求分析 3 2.1.1 程序要求 3
2.1.2 辅助程序图 3 2.1.3 木马程序功能说明 4 3 程序设计 4
3.1 辅佐程序设计 4 3.2 木马程序设计7 3.2.1执行命令模块7 3.2.2键盘记录模块9 3.2.3关闭进程模块12 3.2.4网页木马模块14 4 程序及其变形的分析及防范措施15
4.1 一般木马的分析及防范15 4.2 常见防范方法16 结论18 参考文献19 致谢20
声明21。