|
 | 作者: myjian [myjian]
 论坛用户 |
登录 |
| 大家好!!小弟我最近在一个帖子上看到有人这样说: ********************************************************* 有些木马使用了远程线程注入和RegisterServiceProcess,这样在32位版本的Windows(9X/2000/XP/2003)下就看不到进程,而且第三方的进程查看器也无法查看到,这是怎么会事呢?我研究出了一种很简单的办法,编写DLL木马,DLL是不使用进程的。运行的时候: Windows 95 / 98 / ME 用Rundll32.exe DLL文件名,功能名 再用RegisterServiceProcess隐藏进程。 好处:Ctrl+Alt+Delete看不到进程,第三方进程查看器只能看到Rundll32.exe,看不到DLL木马。 Windows 2000 / XP /2003 用Rundll32.exe DLL文件名,功能名 再注册一个NT服务 好处:是NT服务,所有者是 System ,另外只能看到Rundll32.exe,看不到DLL木马。 先介绍Rundll32的使用方法。 Rundll32.exe [DLL文件名],[功能名] 例:我编写个Kernel32.dll,放在C:\Windows\System32\,内容如下: Private Function MsgIt() Msgbox "呵呵~中木马了!",4096,"Script Kids" End Function 执行: Rundll32.exe C:\Windows\System32\Kernel32.dll,MsgIt 这样会显示出一个“呵呵~中木马了!”对话框。 DLL木马的理论设计 Private Declare ... Lib "WSOCK32.DLL" ... <-不使用Winsock,但得声明一些Winsock的功能。 Private Declare ... Lib "Kernel32"... <-声明些系统函数 Private Declare "Sleep" Lib "Kernel32"... <-睡眠函数 (声明省略) Private Function Start() WSOCK32设定端口函数 "1222",(?) 问题:怎样才能让WSOCK32知道是DLL木马要开启1222端口 DoEvents '这个是不是相当于NOP? WSOCK32监听函数 监听过程: If WSOCK32的状态为有连接 Then WSOCK32允许连接 Call RCFunction <-转移到控制过程 Else Sleep 5000 <-防止硬盘灯狂闪,睡眠5秒。 Goto 监听过程 End if End Function :控制过程Private Sub... ****************************************** 不知道这个说对了没?我在自己编程序时没有试验成功。 我用的是VB,编了一个ActiveX DLL,不知道问题是不是出在这个上面? |
| 地主 发表时间: 04-02-01 09:24 |
| 回复: myjian [myjian] 论坛用户 |
登录 |
|
顶 |
| B1层 发表时间: 04-02-03 11:24 |
| 回复: myjian [myjian] 论坛用户 |
登录 |
|
顶 |
| B2层 发表时间: 04-02-11 12:33 |
 | 回复: neaes [near] 论坛用户 |
登录 |
|
我也顶 |
| B3层 发表时间: 04-02-12 13:32 |
| 回复: myjian [myjian] 论坛用户 |
登录 |
|
其实我觉得也许98下的RUNDLL32.EXE有这个功能 |
| B4层 发表时间: 04-02-12 17:32 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 编程破解
标题: 关于进程插入的问题,请赐教!