标签 ‘木马’ 下的日志

从一木马分析到生成器编写过程

【文章标题】: 一个木马的分析
【文章作者】: Open[x.g.c] 中国X黑客小组 ( http://www.cnxhacker.com/ )
【作者邮箱】: [email protected]
【下载地址】: 自己搜索一下被挂了马的网页或查找一下自己机子上有没有
【加壳方式】: PECompact 2.x
【编写语言】: vb
【操作平台】: winxp
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!

【详细过程】


阅读全文 »

Tags:

汇编实现木马生成技术

文章作者:Asm
信息来源:邪恶八进制信息安全团队

 注:代码采用MASM32格式编写,全部测试通过--嘿嘿,不通过的代码不敢发布误人子弟^_^
写这篇文章的目的是回顾一下这几天关于探究木马生成技术的过程.在我学习中,很多人给了我帮助,男女都有,有火狐的,有邪恶八进制的,红狼的,在此感谢 ^_^
在网上这样的文章貌似已经泛滥了,当时作者们都是没有给出完整代码,或者他们给的代码无法编译等等,有可能误导了别人.这篇文章是我切身的学习过程,既然我掌握了这个泛滥的技术,也厚着脸皮写出来,希望能对你们有用..
首先我们看一下第一种方法,也是一种很简单的方法,就是在内存中直接对这个服务端进行操作,把你的URL替换掉这个程序原先的字符串,例如:

阅读全文 »

Tags: ,

木马程序隐身的技术

来源:dream2fly
最基本的隐藏:不可见窗体+隐藏文件

木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。Windows下常见的程序有两种:

1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。

2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。

其中,Win32应用程序通常会有应用程序界面,比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为“隐藏”,这就是最基本的隐藏手段,稍有经验的用户只需打开“任务管理器”,并且将“文件 阅读全文 »

Tags:

查找与清除线程插入式木马

目前网络上最猖獗的病毒估计非木马程序莫数了,特别是在过去的2004年木马程序的攻击性也有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等,这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。

操作步骤:

1.通过自动运行机制查木马
一说到查找木马,许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”,具体的地方一般有以下几处:

1)注册表启动项:
在“开始/运行”中输入“regedit.exe”打开注册表编辑器,依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C 阅读全文 »

Tags:

传奇木马DIY

文章作者:xyzreg[E.S.T]
信息来源:邪恶八进制 中国

注:此文已发表在《黑客防线》2005年第3期上,版权归其所有

网络上的传奇木马屡见不鲜,一个服务端甚至卖到几百元,而源代码更是以几千元甚至更高的价钱出售。为何身价这么高呢?因为传奇木马要实现窃取区域、服务器、人物装备等信息的效果,不仅仅是简单的键盘记录,有时还需运用内存搜索、网络数据包嗅探等技术,所以写起来相对而言有点难度,但这并不代表编写传奇木马的技术就有多难。今天笔者就来解析解析,讲解一下怎样编写传奇木马,同时希望借分析这种木马的功能实现而有游戏厂商能防止这种盗号 ,让广大游戏爱好者真正拥有一片纯净的游戏空间。

我们这个程序具有以下功能:获取“ 传奇”游戏的登录信息:区号、登录账号、密码、服务器名,并发送到指定的邮箱。设置自动运行键值后,此木马服务端就随系统启动并一直运行着,如果同时设置了关联启动,则得到一次的信息 阅读全文 »

Tags: