系统自带木马捆绑制作

木马捆绑与隐藏12.2.1 背景描述木马并不是合法的网络服务程序，如果单纯以本来面目出现，很容易被网络用户识别。

为了不被别人发现，木马制造者必须想方设法改换面貌；为了诱使网络用户下载并执行它，黑客将木马程序混合在合法的程序里面，潜入用户主机。

在受害主机里，为了逃避杀毒软件的查杀，木马也会将自己“乔装打扮”；为了防止用户将其从系统里揪出来，木马则采取一切可能的手法进行隐藏自己。

总之，现在的木马制造者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者，而用户一旦不慎打开这些文件，木马就自动执行了，主机就中木马了。

12.2.2 工作原理1．木马捆绑木马捆绑即是文件捆绑，黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。

这是一种最简单也是最可行和最常用的一种方法，当受害者下载并运行捆绑了木马等恶意程序的文件时，其中的木马等恶意程序就会被激活。

木马捆绑的手段归纳起来共有四种：（1）利用捆绑机软件和文件合并软件捆绑木马；（2）利用WINRAR、WINZIP 等软件制作自解压捆绑木马；（3）利用软件打包软件制作捆绑木马；（4）利用多媒体影音文件传播。

2．木马隐藏隐藏是一切恶意程序生存之本。

以下是木马的几种隐藏手段：（1）进程隐蔽：伪隐藏，就是指程序的进程仍然存在，只不过是让它消失在进程列表里。

真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作，做为一个线程，一个其他应用程序的线程，把自身注入其他应用程序的地址空间。

（2）伪装成图像文件：即将木马图标修改成图像文件图标。

（3）伪装成应用程序扩展组件：将木马程序写成任何类型的文件（如dll,ocx等），然后挂在十分出名的软件中。

因为人们一般不怀疑这些软件。

（4）错觉欺骗：利用人的错觉，例如故意混淆文件名中的1（数字）与l（L的小写）、0（数字）与o（字母）或O（字母）。

八种硬件木马设计和实现硬件木马是指通过在计算机硬件上植入恶意代码，实现对目标计算机的操控和攻击的一种恶意软件。

与软件木马相比，硬件木马更加隐蔽，很难被检测和清除。

下面将介绍八种常见的硬件木马设计和实现方法。

1.主板固件植入：通过对计算机主板固件进行修改，将恶意代码写入主板的固件中。

这样在计算机启动时，恶意代码会自动加载并运行，从而实现对目标计算机的控制。

2.硬盘固件植入：恶意代码可以被植入到硬盘的固件中，当计算机启动时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以读取硬盘上的数据，或者在计算机运行中篡改数据。

3.网卡固件植入：恶意代码可以被植入到网卡的固件中，当计算机连接到网络时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以监听和窃取网络通信数据，或者篡改传输数据。

4.显示器固件植入：恶意代码可以被植入到显示器的固件中，当计算机连接到显示器时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以监控和截获显示器的显示内容，包括屏幕上的敏感信息。

5.键盘固件植入：恶意代码可以被植入到键盘的固件中，当用户使用键盘输入时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以记录用户的敏感输入信息，如密码、信用卡号等。

6.鼠标固件植入：恶意代码可以被植入到鼠标的固件中，当用户使用鼠标时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以控制鼠标的移动和点击，实现对目标计算机的操控。

B设备植入：恶意代码可以被植入到USB设备的固件中，当用户将USB设备连接到计算机时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以利用USB设备传输恶意代码，实现对目标计算机的攻击。

8.CPU植入：恶意代码可以被植入到CPU中的控制电路中，当计算机启动时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以直接控制和操控CPU的功能，实现对目标计算机的远程控制。

以上是八种常见的硬件木马设计和实现方法。

由于硬件木马具有隐蔽性高、难以被检测和清除等特点，对于用户来说，保持计算机硬件的安全是至关重要的。

XP自带捆绑器IEXPRESS使用方法2009-06-07 08:40:56 来源：互联网首先在“运行”对话框中输入iexpress 就可以起用程序了！“Create new Self Extraction Directive file”意思是：“创建新的自解压文件”“Open existing Self Extraction Directive file”...首先在“运行”对话框中输入iexpress 就可以起用程序了！“Create new Self Extraction Directive file”意思是：“创建新的自解压文件”“Open existing Self Extraction Directive file”意思是：“打开已保存的自解压文件”在这里我们当然就要选者第一项了这里我们就来选者制作木马自解压包的方式，这里有3中1.“Extract files and run an installation command”创建自解压并自动安装压缩包2.“Extract files only”只创建个自解压压缩包3.“Create compressed files only（ActiveX Installs）”应该是创建个CAB的压缩包吧。

这里当然就选者第一项了拉然后“下一步”输入压缩包的标题我在这里就随便输入下这一项是询问我们在程序解压时是否提示，木马就是要隐蔽！当然要选者“NOprompt”“不提示”-----------------------------------------------------------------------------------------这项是让我们添加“用户允许协议”“Do not display a license”是不显示用户允许协议而“Display a license”则是显示用户允许协议一般软件都有“用户允许协议”只有选者了“同意”才可以继续在这里我就还是选者显示用户允许协议好了。

网络安全课设组成员：崔帅200800824114甘春泉200800824126课程设计组员分工如下：崔帅：木马主体程序甘春泉：木马测试、不兼容模块的修改、课程设计报告题目：木马（远程控制）系统的设计与实现1）任务参考同学们在课堂上的讨论，在Windows平台上设计并实现一个木马（远程控制）系统。

2）要求⏹实现木马的基本功能：自动安装、安装后文件删除、进程隐蔽、自动启动、远程控制等；⏹实现杀毒软件等安全防护软件的免杀。

一、木马的定义木马本质上是一种经过伪装的欺骗性程序, 它通过将自身伪装吸引用户下载执行, 从而破坏或窃取使用者的重要文件和资料。

木马程序与一般的病毒不同，它不会自我繁殖，也并不刻意!地去感染其他文件, 它是一种后台控制程序。

它的主要作用是向施种木马者打开被种者电脑的门户，使其可以任意毁坏、窃取被种者的文件，甚至远程操控其电脑。

二、木马的组成一般来说，完整的木马由两部分组成，即服务端Server 和客户端Client，也就是采用所谓的C/S 模式。

如下图2-1所示：图2-1木马的服务端和客户端一个完整的木马系统以下几部分组成:1、硬件部分建立木马连接所必须的硬件实体。

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

2、软件部分实现远程控制所必须的软件程序。

控制端程序：控制端用以远程控制服务端的程序。

木马程序：潜入服务端内部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

3、建立连接的必要元素通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。

控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。

控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

本节我们将讲的是木马常用的入侵手段。

木马程序虽然千变万化，但大多数木马程序没有特别的功能，入侵的方法也差不多，只是将以前的木马程序更换了名称而已，因此有一些手法是绝大多数木马所公用的。

下面介绍这些木马常用入侵手段。

■在win.ini中加载一般在win.ini文件中的windows中有加载run=和load=，一般来说这2项为空。

如果发现这2项加载了任何可疑的程序时就需要特别当心，这时可以根据其提供的源文件路径和功能进一步检查。

这两项分别是用来当系统启动时自动运行和加载程序的，如果木马程序加载到这2个子项中，那么系统启动后即可自动运行和加载。

当然也有可能系统之中确实有需要加载某一程序，但这更是木马利用的好机会，它往往会在现有的加载的程序文件名之后再加一个它自己的文件名或者参数，该文件名一般使用用户常见的command.exe、等文件来伪装。

■在system.ini中加载在系统信息文件system.ini中也有一个启动加载项，它就是BOOT子项中的SHELL项。

在这里，木马最管用的伎俩就是把“Explorer”变成它自己的程序名。

这些改变如果不仔细留意是很难被发现的，这就是前面讲到的欺骗性。

当然也有木马不这样做，它直接把“Explorer”改为别的名称，例如改成Explorer。

■在Winstart.bat中加载winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个自动被WINDOWS加载运行的文件。

它大多数情况下是应用程序和WINDOWS自动生成的，在执行了并加载了多数驱动程序之后开始执行。

由于Autoexec.bat的功能可以由winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险即由此而来。

■启动项木马隐藏在启动项中是最常见的一种方式，这里是木马自动加载运行的位置，因此还有很多木马驻留在这里。

其最大的优势就是只要用户启动计算机木马就自动地运行起来。

Windows自带捆绑器使用方法IExpress小档案出身：Microsoft 功能：专用于制作各种CAB 压缩与自解压缩包的工具。

由于是Windows自带的程序，所以制作出来的安装包具有很好的兼容性。

它可以帮助木马传播者制造不被杀毒软件查杀的自解压包，而且一般情况下还可伪装成某个系统软件的补丁（如IE的hotfix）来迷惑人。

到哪里寻找永远都不会被查杀的捆绑方法或工具？远在天边，近在眼前。

可千万别忘了与你朝夕相处的Windows。

此次所要介绍的捆绑工具就是Windows 自带的一个小巧的软件IExpress（适用于2000和XP系统）。

原理IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包，这些自解压包能够自动运行程序包中包含的EXE程序。

IExpress技术是Microsoft使用的一项技术，用于为某些Microsoft Internet Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包。

如何确定某个软件更新程序包是否使用了IExpress呢？方法如下：1．右键单击该程序包，然后单击“属性”。

2．在“常规”选项卡中，查看“描述”。

使用了IExpress技术的软件更新程序包中会包含“Win32 Cabinet Self-Extractor”字样。

实际操作在这一部分，笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。

第一步在“运行”对话框中输入IExpress就可启动程序（图1）。

在开始的时候会有两个选项供你选择，一个是创建新的自解压文件（Create new Self Extraction Directive file），另一个是打开已经保存的自解压模板“.sed”文件（Open existing Self Extraction Directive file）。

我们应该选择第一项，然后点击“下一步”按钮。

第二步接下来选择制作木马自解压包的三种打包方式（图2），它们分别是建立自解压并自动安装压缩包（Extract files and run an installation command）、建立自解压压缩包（Extract files only）和建立CAB压缩包（Create compressed files only）。

长沙理工大学《计算机网络技术》课程设计报告学 院专 业 班 级 学 号 学生姓名 指导教师 课程成绩 完成日期课程设计成绩评定学院专业班级学号学生姓名指导教师完成日期指导教师对学生在课程设计中的评价指导教师对课程设计的评定意见课程设计任务书城南学院通信工程专业木马程序的设计与实现学生姓名：指导老师：摘要本文在研究著名木马BO2K技术的基础上设计了一款远程控制木马。

该木马程序能够通过客户端对远程主机进行控制和监视，服务端可以自动连接客户端.另外该木马程序还包括远程文件操作（文件复制、拷贝、删除、下载、上传等）,远程系统控制(重启、屏幕锁定、启动项管理）,网络连接控制，远程进程管理和键盘监控等功能。

最后本文实现了这一款木马程序，并对其进行了测试.测试结果显示该木马程序实现了所有的功能，能够对远程主机进行控制.关键字客户端/服务端；BO2K；远程控制1 引言随着互联网技术的迅猛发展，网络给人们带来了很多便利，日益发达的网络产品越来越多。

伴随这样的发展,随之而来的是越来越多的帐号与密码，而这些帐号与密码背后伴随的是很多的经济价值.在这种状况下，很多人想尽一切办法的去找取配套的密码与帐号,所以为了使帐号与密码更加安全,有必要去研究木马的工作原理.1.1 课程设计目的（1）掌握木马编程的相关理论，理解木马工作的基本原理，学会运用C++进行编程实现.（2）加深对课本知识的理解，并运用所学理论和方法进行一次综合性的设计训练，同时掌握工程设计的具体步骤和方法,从而培养独立分析问题和解决问题的能力，提高实际应用水平。

（3)以所学知识为基础，针对具体设计问题，充分发挥自己的主观能动性，独立地完成课程设计分配的各项任务，并通过课程设计培养严谨的科学态度和认真的工作作风.1.2 课程设计内容（1)查找木马程序主要技术及相应软件;（2）比较他们的技术及优缺点；（3）实现一个简单的木马程序；(4）提交文档;1.3 课程设计要求（1）按要求编写课程设计报告书，能正确阐述设计结果。

浅析木马捆绑伪装的多种方式作者：于海雯来源：《电脑知识与技术》2012年第30期摘要：介绍了木马捆绑伪装的几种方式，并分析了各种方式的原理及其优劣。

关键词：文件捆绑；常规捆绑；压缩捆绑；插入捆绑；克隆捆绑中图分类号：TP39 文献标识码：A 文章编号：1009-3044（2012）30-7214-02木马之所以狡猾，是因为它除了能躲避杀毒软件的查杀外，还能诱骗用户运行。

木马伪装，以捆绑方式最为常见，将恶意程序和正常的文件进行捆绑，是黑客最常用、最可行、最简单的方式，当受害者运行这些捆绑了恶意程序的文件后，电脑就在不知不觉中中招了！而且，几乎所有格式的文件，都能捆绑上木马，包括很多人认为不会带病毒的文件，比如：电影文件.rm、图片格式文件.jpg、等，都无一幸免！其中电影文件.rmvb一般是捆绑了弹窗广告，而大多数广告链接网站都有毒！所以去除广告链接，就安全了。

如果我们能对木马的捆绑伪装方式有充分地了解，知己知彼，那么就可以更好地保护我们的计算机系统不受侵害。

1 文件捆绑文件捆绑，当然需要捆绑器软件，捆绑器的使用一般分为以下几个步骤：1）添加捆绑文件，包括要捆绑的恶意程序和被捆绑的正常文件，比如：各种图片、迷你小游戏、FLASH动画文件，等；2）设置捆绑的属性并选择捆绑后的文件图标；3）合并生成相应的文件。

读者可以上网随意下个捆绑机软件，比如“EXE捆绑机”软件，可以将两个可执行文件（.exe文件）捆绑成一个文件，运行捆绑后的文件等于同时运行了两个文件；它会自动更改图标，使捆绑后的文件与捆绑前的文件图标一样。

文件捆绑，具体来讲，又分为常规捆绑、压缩捆绑、插入捆绑、克隆捆绑，等多种方式。

下面，本文将分析目前常见的几种木马捆绑伪装方式，从而让大家更好地了解木马运行的整个流程。

2 常规捆绑常规捆绑比较简单，比如，“南城剑盟捆绑器”，功能非常专业强大，具有对捆绑文件修改属性、日期时间，图标提取、修改图标、释放路径配置等功能。

木马常见植入方法大曝光对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。

然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人最有效。

识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。

4把木马文件转换为图片格式这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。

原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。

我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。

改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。

IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。

下一次启动时木马就运行了，无声无息非常隐蔽。

5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马，也是骗术最高的木马。

特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。

对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。

一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。

实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。

操作结束后关掉进程，继续进入休眠状况。

举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。

浅析绑马的四种方法来源：115 一EXE合并捆绑法也就是最常见的的用捆绑工具或winrar自解压把一个或多个PE文件结合到一起微懂一点PE知识的人都应该知道。

一个完整有效的PE/EXE文件，他的里面都包含了几个绝对固定的特点[不管是否加壳]。

一是文件以MZ开头，跟着DOS头后面的PE头以PE\0\0开头。

有了这两个特点，检测就变得很简单了。

只需利用UltraEdit一类工具打开目标文件搜索关键字MZ或者PE。

如果找到两个或者两个以上。

则说明这个文件一定是被捆绑了。

不过值得注意的是，一些生成器也是利用了这个原理，将木马附加到生成器末尾，用户选择生成的时候读出来,(例如常见的一些QQ木马生成器) ,这种捆绑方法已经很落伍了,论坛有很多教程大家可以学下如何去分离出这些捆绑程序.二exe转批处理法有个工具可以把exe程序转换成批处理格式转换以后的批处理一般都会比原程序要大上几倍,右键写字板查看一般内容都是cls@echo e 13D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 >>tmp44(临时文件)@echo e 13E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 >>tmp44@echo e 13F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 >>tmp44@echo e 1400 00 00 00 00 00 00 >>tmp44@echo rcx>>tmp44@echo 1306>>tmp44@echo n tmp4>>tmp44@echo w>>tmp44@echo q>>tmp44@debug<tmp44>nul@Copy /b /y tmp1+tmp2+tmp3+tmp4 123.exe (原程序)一般都用到工具都会写"点此注册先"此类批处理毛注册个毛啊这种方法怎么说呢也很具有SB的性质....一般查看这种东西很简单, 右键编辑(如果批处理加密先用工具解密在查看) 把批处理中@star **.exe删掉然后运行批处理可以得到原程序然后在判断是否为木马三批处理源码调用法听名字大家好像不清楚,现在很多工具都存在一些不名后缀文件或dll,一般大家也不会注意,有些人利用这一点进行木马的调用,具体方法:将生成好的木马后缀改成dll文件,然后利用批处理复制并修改后缀然后在进行调用运行,有人要说了,如果这样做那文件监视器不就一下看到了么,呵呵 .一般审核都只是审核几分钟,批处理完全可以延后运行木马,或是写判断来判断各种文件监视器的进程.当然了,这也只能逃过一些工作不认真或经验少的审核员的眼睛.四程序源码调用法也就是一些工具在写源码的时候直接加进了后门(类似下载者,发信者,释放者),这些工具后门一般在OD中可以查看到,一般查找字符为(smtp,http,exe,com,asp)或是用一些抓包工具,不过对于高级绑马,抓包工具完全就是毛用如果程序加密了先要脱壳,一般的壳用对应的脱壳工具可以脱掉,脱壳咱菜,就不多讲了.绑马加后门方法五花八门粗略讲解以上四点最常见最低级捆绑手段。

教你做木马网上木马程序很流行，其实说来也很简单，大致都是修改注册表或者INI文件加载一个文件提供服务，这就手工都很容易检测出木马来。

一，看增加的不明服务。

二，因为木马是作为服务一般要打开一个网络通信端口，所以检查增加的服务端口也很容易检查出木马程序来。

其实完全可以稍微改动操作系统内核而作出一个很好的木马来，这样不用改动注册表也可以让用户很不容易发觉。

下面就是简单改动一个驱动程序做一个木马的方法。

大家可以分析别的驱动程序相应的作出自己的木马来。

这儿是利用WINDOWS的共享和远程管理。

WINDOWS的共享如果共享名是ADMIN$就可以远程管理，就是登陆ADMIN$进去了后所有的盘都完全共享为盘符加$.下面一段就是VSERVER。

VXD处理共享的一段程序，SUB_0027校验密码，密码对了后后面检测共享名是ADMIN $否,是就看C$,D$...共享没有（DATA_0431==0？)，没共享就调用SUB_0230共享，SUB_0230 一个参数就是密码指针，如果密码指针为0就没密码。

这儿为了好改动就用的这个参数。

显然我们就可以必要的时候调用SUB_0230 就开了个后门。

LOC_0415是检测网络通信的共享名串大于0DH否（包括串后的0），是就转LOC_0419出错返回，显然我们可以利用这儿去调用SUB_0230. 看LOC_0419 有7个字节可以利用，可以安排CALL SUB_0230NEW_LOC_0418 POP eaxjmp 03469刚好7个字节。

3436：JE LOC_0418 是没找到要共享的目录跳转到LOC_0418 显然要改动，改动成JE NEW_LOC_0418 就可以。

现在是LOC_0415一段要跳转到LOC_0419前要PUSH 0以调用SUB_0230。

下面是LOC_0415的改法：LOC_0415:03415 XOR EAX,EAX ;2 字节，同样SUB AL，AL 得到AL=0；还得到EAX=0。

⼿动编写windows简单⽊马声明：本帖仅作技术交流，切莫⽤于⾮法⽤途。

否则造成的⼀切法律责任与作者⽆关。

"使⽤C++实现⼀个简单的⽊马，实现⽊马的远程控制功能，能够开机⾃启动和伪装或隐藏，最后通过清除本⽊马，掌握常规的⽊马排查和查杀⽅法。

"⼯具：vc++6.0攻击机：win10(ip随机) 靶机：192.168.1.129⼀、⽊马是什么？这是⼀个⽼⽣常谈的问题，⽊马（Trojan）这个名字来源于古希腊传说(荷马史诗中⽊马计的故事，Trojan⼀词的本意是特洛伊的，即代指特洛伊⽊马，也就是⽊马计的故事)。

⼆、⽊马隐藏技术⽊马会想尽⼀切办法隐藏⾃⼰，主要途径有：在任务栏中隐藏⾃⼰，这是最基本的办法。

只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运⾏时就不会出现在任务栏中了（MFC编程）。

在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装⾃⼰。

当然它也会悄⽆声息地启动，⿊客当然不会指望⽤户每次启动后点击“⽊马”图标来运⾏服务端，“⽊马”会在每次⽤户启动时⾃动装载。

Windows系统启动时⾃动加载应⽤程序的⽅法，“⽊马”都会⽤上，如：启动组、Win.ini、System.ini、注册表等都是“⽊马”藏⾝的好地⽅。

⽊马与计算机⽹络中常常要⽤到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“⽊马”则完全相反，⽊马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫⽆价值”的。

三、⽊马程序原理：⽊马病毒的⼯作原理：⼀个完整的特洛伊⽊马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。

植⼊对⽅电脑的是服务端，⽽⿊客正是利⽤客户端进⼊运⾏了服务端的电脑。

运⾏了⽊马程序的服务端以后，会产⽣⼀个有着容易迷惑⽤户的名称的进程，暗中打开端⼝，向指定地点发送数据（如⽹络游戏的密码，即时通信软件密码和⽤户上⽹密码等），⿊客甚⾄可以利⽤这些打开的端⼝进⼊电脑系统。

木马是如何编写的(一)特洛依木马这个名词大家应该不陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷，使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。

我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！要知道，木马（Trojan）的历史是很悠久的：早在AT&T Unix和BSD Unix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取得更高的权限。

那时木马的主要方法是诱骗——先修改你的.profile文件，植入木马；当你登陆时将你敲入的口令字符存入一个文件，用Email的形式发到攻击者的邮箱里。

国内的年轻人大都是在盗版Dos的熏陶下长大的，对网络可以说很陌生。

直到Win9x横空出世，尤其是WinNt的普及，大大推动了网络事业的发展的时候，BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马（甚至在Win9x的“关闭程序”对话框可以看到进程）给了当时中国人极大的震撼，它在中国的网络安全方面可以说是一个划时代的软件。

自己编写木马，听起来很Cool是不是！木马一定是由两部分组成——服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。

为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

首先是编程工具的选择。

目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈——难道你还给受害者传一个1兆多的动态链接库——吗启动C++Builder 企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NMSMTP。