木马竟自己动了起来(乘着木马往时光深处)

特洛伊木马的故事

特洛伊木马的故事4篇

古希腊人攻打特洛伊城，很久打不下来，希腊人奥德赛想出了木马计，旷日持久的特洛伊战争才得以结束。

当时，希腊人制造了一匹巨大的木马，在马腹内藏着一批勇士。随后他们就装出战败撤退的样貌，慌忙逃到海边上了船，然后驶入附近的一个海湾躲藏了起来。特洛伊人不明白这是敌人的计谋，以为希腊人厌战了，追出城外，发现了一个大木马，便把它作为战利品拉进城内。深夜，在特洛伊人毫无戒备的时候，希腊勇士们，从大木马的肚子里跳了出来，他们打开城门，发出了信号，这时从海上隐蔽悄悄回到的希腊人，在城中同伴的配合下，里应外合，迅速地夺取了特洛伊城。

背景介绍：特洛伊王子帕里斯来到希腊斯巴达王墨涅拉俄斯的皇宫作客，受到了麦尼劳斯的盛情款待，但是，帕里斯却拐走了麦尼劳斯的妻子海伦。麦尼劳斯和他的兄弟阿伽门农决定讨伐特洛伊，由于特洛伊城池牢固，易守难攻，攻战10年未能如愿。

故事正文：古希腊人攻打特洛伊衫雀嫌城，很久打不下来，希腊人奥德赛想出了木马计，旷日持久的特洛伊战争才得以结束。

当时，希腊人制造了一匹巨大的木马，在马腹内藏着一批勇士。随后他们就装出战败撤退的样貌，慌忙逃到海边上了船，然后驶入附近的一个海湾躲藏了起来。

特洛伊人不明白这是敌人的计谋，以为希腊人厌战了，追出城外，发现了一个大木马，便把它作为战利品拉进城内。

深夜，在特洛伊人毫无戒备的时候，希腊勇士们，从大木马的肚子里跳了出来，他们打开城门，发出了信号，这时从海上隐蔽悄悄回到的希腊人，在城中同伴的配合下，里应外合，迅速地夺取了特洛伊城。

特洛伊木马的典故源于

特洛伊木马的故事是在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷。后人常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。特洛伊木马也是著名电脑木马程序的名字。另有特洛伊木马“Greekgift”一词意为“害人的礼物”，就来源于这场著名的“特洛伊战争”。

古希腊人攻打特洛伊城，很久打不下来，希腊人奥德赛想出了木马计，旷日持久的特洛伊战争才得以结束。

当时，希腊人制造了一匹巨大的'木马，在马腹内藏着一批勇士。随后他们就装出战败撤退的样子，慌忙逃到海边上了船，然后驶入附近的一个海湾躲藏了起来。

特洛伊人不知道这是敌人的计谋，以为希腊人厌战了，追出城外，发现了一个大木马，便把它作为战利品拉进城内。

深夜，在特洛伊人毫无戒备的时候，希腊勇士们，从大木马的肚子里跳了出来，他们打开城门，发出了信号，这时从海上隐蔽悄悄返回的希腊人，在城中同伴的配合下，里应外合，迅速地夺取了特洛伊城。

特洛伊木马的典故源于

特洛伊木马的故事是在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为或手战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，岁差特洛伊沦陷。后人常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。特洛伊木马也是著名电脑木马程序的名字。另有特洛伊木马“Greek gift”一词意为“害人的礼物”，就来源于这场著名的“特洛伊战争”。

大约在公元前13世纪，据说斯巴达有一人家生了个女儿，取名海伦。这小姑娘俏丽无比，渐渐长成一个举世罕见的美女。人人都公认她是全希腊各国最美丽的女子。希腊各国的公子王孙们都纷纷追求她，追求不成者也以看到她的芳容为一生最大的愿望。海伦成了各国公子王孙们的偶像和精心保护的珍宝。之后，海伦的未婚者们达成了协议：让海伦自己选取丈夫，大家保证尊重她的选取，而且要共同保护她丈夫的权利。

之后，斯巴达王阿特柔斯的儿子墨涅依斯为海伦看中，两人成亲。不久，墨涅依斯做了国王，两人相亲相爱，是一对美满的夫妻。

一天，墨涅依斯的王宫里来了一位尊贵的客人。他是特洛伊国王的儿子——帕里斯。特洛伊是小亚细亚半岛（今土耳其）上的一个小王国，它和希腊隔海相望。墨涅依斯对帕里斯盛情款待，连年轻的王后海伦也亲自出来接见。帕里斯长得风度翩翩，风流潇洒，很讨女人喜欢。海伦和他一见钟情，竟鬼迷心窍地和帕里斯一齐逃回特洛伊城了。帕里斯还掠走了王宫中的许多财宝。

斯巴达国王墨涅依斯觉得这是一个极大的侮辱，他连夜赶到迈锡城，请国王阿伽门农，也是他的哥哥帮他复仇。阿伽门农当时是希腊各国的霸主，他立刻邀请了希腊许多小国的国王来开会，会上大家决定联合起来，用武力消灭特洛伊城。阿伽门农被推选为统帅。不久，一支有10万人马，一千多条战舰的大军，浩浩荡荡地攻打特洛伊城去了。希腊人和特洛伊人的战争爆发了。

希腊人认为，世界上的一切事情都是由神安排的，他们给这场战争的起因编了个美丽的神话。

神话中说，英雄阿喀琉斯的父母——国王珀琉斯和海中女神的女儿忒提斯举行婚礼，奥林匹斯山上的许多神仙都应邀而来了。宴会十分热闹。忽然，来了一位怒气冲冲的女神，她把一个金苹果扔在桌子上，上面刻着一行字：“给最美丽的女神”。

扔苹果的女神是“争吵女神”。珀琉斯国王本来就不敢邀请她，没想到她却自己来了，而且引起一场争吵。因为女神们都想得到金苹果，以此证明自己是最美丽的。于是，众神的首领宙斯命令女神们到特洛伊去，请一个叫帕里斯的牧羊来评判。为了得到金苹果，女神们都给帕里斯最大的许诺：天后赫拉答应使他成为一个国王；智慧女神雅典娜保证使他成为一个最聪明的人；爱与美的女神阿佛洛狄忒发誓让他娶到全希腊最美丽的女子做妻子。

帕里斯把金苹果给了阿佛洛狄忒，因为他不要智慧，不要当国王，只要一个最美丽的妻子。帕里斯其实也不是真正的牧羊童，是特洛伊国的王子伪装的。在阿佛洛狄忒的帮忙下，帕里斯拐走了当时最美的女子海伦——斯巴达王墨涅依斯的王后。由此，引发了希腊人和特洛伊人之间的战争。却说希腊人联合起来攻打特洛伊城，但特洛伊城是个十分坚固的城市，希腊人攻打了九年也没有打下来。

第十年，希腊一位多谋善断的将领奥德修斯想出了一条妙计。

这一天的早晨十分奇怪。希腊联军的战舰突然扬帆离开了。平时喧闹的战场变得寂静无声。特洛伊人以为希腊人撤军回国了，他们跑到城外，却发现海滩上留下一只巨大的木马。特洛伊人惊讶地围住木马，他们不明白这木马是干什么用的。有人要把它拉进城里，有人推荐把它烧掉或推到海里。正在这时，有几个牧人捉住了一个希腊人，他被绑着去见特洛伊国王。这个希腊人告诉国王，这个木马是希腊人用来祭祀雅典娜女神的。希腊人估计特洛伊人会毁掉它，这样就会引起天神的愤怒。但如果特洛伊人把木马拉进城里，就会给特洛人带来神的赐福，所以希腊人把木马造得这样巨大，使特洛伊人无法拉进城去。

特洛伊国王相信了这话，正准备把木马拉进城时，特洛伊的祭司拉奥孔跑来制止，他要求把木马烧掉，并拿长矛刺向木马。木马发出了可怕的响声，这时从海里窜出两条可怕的蛇，扑向拉奥孔和他的两个儿子。拉奥孔和他的儿子拚命和巨蛇搏斗，但很快被蛇缠死了。

两条巨蛇从容地钻到雅典娜女神的雕像下，不见了。

希腊人又说，“这是因为他想毁掉献给女神的礼物，所以得到了惩罚”特洛伊人赶紧把木马往城里拉。但木马实在太大了，它比城墙还高，特洛伊人只好把城墙拆开了一段。当天晚上，特洛伊人欢天喜地，庆祝胜利，他们跳着唱着，喝光了一桶又一桶的酒，直到深夜才回家休息，做着关于和平的美梦。

深夜，一片寂静。劝说特洛伊人把木马拉进城的希腊人其实是个间谍。他走到木马边，轻轻地敲了三下，这是约好的暗号。藏在木马中的全副武装的希腊战士一个又一个地跳了出来。他们悄悄地摸向城门，杀死了睡梦中的守军，迅速打开了城门，并在城里到处点火。

隐蔽在附近的大批希腊军队如潮水般涌入特洛伊城。10年的战争最后结束了。希腊人把特洛伊城掠夺成空，烧成一片灰烬。男人大多被杀死了，妇女和儿童大多被卖为奴隶，特洛伊的财宝都装进了希腊人的战舰。海伦也被墨涅依斯带回了希腊。“当心希腊人造的礼物”这一成语在世界上许多国家流传着，它提醒人们警惕，防止被敌人的伪装欺骗，使敌人钻进自己的心脏。这句话来自木马记。

“特洛伊木马”此刻已成了“挖心战”的同义语，比喻打进敌人心脏的战术。

什么是木马

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具**置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木兆橡源马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

参考资料：http://bbs.51ww.com/365000/ShowPost.aspx

回答者：完颜康康-探花十一级 9-18 12:40

--------------------------------------------------------------------------------

DLL木马揭秘

相信经常玩木马的朋友们都会知道一些木马的特性，也会有自己最喜爱的木马，不过，很多朋友依然不知道近年兴起的“DLL木马”为何物。什么是“DLL木马”呢？它与一般的木马有什么不同？

一、从DLL技术说起

要了解DLL木马，就必须知道这个“DLL”是什么意思，所以，让我们追溯到几年前，DOS系统大行其道的日子里。在那时候，写程序是一件繁琐的事情，因为每个程序的代码都是独立的，有时候为了实现一个功能，就要为此写很多代码，后来随着编程技术发展，程序员们如稿把很多常用的代码**（通用代码）放进一个独立的文件里，并把这个文件称为“库”（Library），在写程序的时候，把这个库文件加入编译器，就能使用这个库包含的所有功能而不必自己再去写一大堆代码，这个技术被称为“静态链接”（Static Link）。静态链接技术让劳累的程序员松了口气，一切似乎都很美好。可是事实证明，美好的事物不会存在太久，因为静态链接就像一个粗鲁的推族态销员，不管你想不想要宣传单，他都全部塞到你的手上来。写一个程序只想用到一个库文件包含的某个图形效果，就因为这个，你不得不把这个库文件携带的所有的图形效果都加入程序，留着它们当花瓶摆设，这倒没什么重要，可是这些花瓶却把道路都阻塞了——静态链接技术让最终的程序成了大块头，因为编译器把整个库文件也算进去了。

时代在发展，静态链接技术由于天生的弊端，不能满足程序员的愿望，人们开始寻找一种更好的方法来解决代码重复的难题。后来，Windows系统出现了，时代的分水岭终于出现。Windows系统使用一种新的链接技术，这种被称为“动态链接”（Dynamic Link）的新技术同样也是使用库文件，微软称它们为“动态链接库”——Dynamic Link Library，DLL的名字就是这样来的。动态链接本身和静态链接没什么区别，也是把通用代码写进一些独立文件里，但是在编译方面，微软绕了个圈子，并没有采取把库文件加进程序的方法，而是把库文件做成已经编译好的程序文件，给它们开个交换数据的接口，程序员写程序的时候，一旦要使用某个库文件的一个功能函数，系统就把这个库文件调入内存，连接上这个程序占有的任务进程，然后执行程序要用的功能函数，并把结果返回给程序显示出来，在我们看来，就像是程序自己带有的功能一样。完成需要的功能后，这个DLL停止运行，整个调用过程结束。微软让这些库文件能被多个程序调用，实现了比较完美的共享，程序员无论要写什么程序，只要在代码里加入对相关DLL的调用声明就能使用它的全部功能。最重要的是，DLL绝对不会让你多拿一个花瓶，你要什么它就给你什么，你不要的东西它才不会给你。这样，写出来的程序就不能再携带一大堆垃圾了——绝对不会让你把吃剩的东西带回家，否则罚款，这是自助餐。

DLL技术的诞生，使编写程序变成一件简单的事情，Windows为我们提供了几千个函数接口，足以满足大多数程序员的需要。而且，Windows系统自身就是由几千个DLL文件组成，这些DLL相互扶持，组成了强大的Windows系统。如果Windows使用静态链接技术，它的体积会有多大？我不敢想。

二、应用程序接口API

上面我们对DLL技术做了个大概分析，在里面我提到了“接口”，这又是什么呢？因为DLL不能像静态库文件那样塞进程序里，所以，如何让程序知道实现功能的代码和文件成了问题，微软就为DLL技术做了标准规范，让一个DLL文件像奶酪一样开了许多小洞，每个洞口都注明里面存放的功能的名字，程序只要根据标准规范找到相关洞口就可以取得它要的美味了，这个洞口就是“应用程序接口”（Application Programming Interface），每个DLL带的接口都不相同，尽最大可能的减少了代码的重复。用Steven的一句话：API就是一个工具箱，你根据需要取出螺丝刀、扳手，用完后再把它们放回原处。在Windows里，最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。

三、DLL与木马

DLL是编译好的代码，与一般程序没什么大差别，只是它不能独立运行，需要程序调用。那么，DLL与木马能扯上什么关系呢？如果你学过编程并且写过DLL，就会发现，其实DLL的代码和其他程序几乎没什么两样，仅仅是接口和启动模式不同，只要改动一下代码入口，DLL就变成一个独立的程序了。当然，DLL文件是没有程序逻辑的，这里并不是说DLL=EXE，不过，依然可以把DLL看做缺少了main入口的EXE，DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码，加上一些特殊代码写成DLL文件，导出相关的API，在别人看来，这只是一个普通的DLL，但是这个DLL却携带了完整的木马功能，这就是DLL木马的概念。也许有人会问，既然同样的代码就可以实现木马功能，那么直接做程序就可以，为什么还要多此一举写成DLL呢？这是为了隐藏，因为DLL运行时是直接挂在调用它的程序的进程里的，并不会另外产生进程，所以相对于传统EXE木马来说，它很难被查到。

四、DLL的运行

虽然DLL不能自己运行，可是Windows在加载DLL的时候，需要一个入口函数，就如同EXE的main一样，否则系统无法引用DLL。所以根据编写规范，Windows必须查找并执行DLL里的一个函数DllMain作为加载DLL的依据，这个函数不作为API导出，而是内部函数。DllMain函数使DLL得以保留在内存里，有的DLL里面没有DllMain函数，可是依然能使用，这是因为Windows在找不到DllMain的时候，会从其它运行库中找一个不做任何操作的缺省DllMain函数启动这个DLL使它能被载入，并不是说DLL可以放弃DllMain函数。

五、DLL木马技术分析

到了这里，您也许会想，既然DLL木马有那么多好处，以后写木马都采用DLL方式不就好了吗？话虽然是这么说没错，但是DLL木马并不是一些人想象的那么容易写的。要写一个能用的DLL木马，你需要了解更多知识。

1.木马的主体

千万别把木马模块写得真的像个API库一样，这不是开发WINAPI。DLL木马可以导出几个辅助函数，但是必须有一个过程负责主要执行代码，否则这个DLL只能是一堆零碎API函数，别提工作了。

如果涉及一些通用代码，可以在DLL里写一些内部函数，供自己的代码使用，而不是把所有代码都开放成接口，这样它自己本身都难调用了，更不可能发挥作用。

DLL木马的标准执行入口为DllMain，所以必须在DllMain里写好DLL木马运行的代码，或者指向DLL木马的执行模块。

2.动态嵌入技术

Windows中，每个进程都有自己的私有内存空间，别的进程是不允许对这个私人领地进行操作的，但是，实际上我们仍然可以利用种种方法进入并操作进程的私有内存，这就是动态嵌入，它是将自己的代码嵌入正在运行的进程中的技术。动态嵌入有很多种，最常见的是钩子、API以及远程线程技术，现在的大多数DLL木马都采用远程线程技术把自己挂在一个正常系统进程中。其实动态嵌入并不少见，罗技的MouseWare驱动就挂着每一个系统进程-_-

远程线程技术就是通过在另一个进程中创建远程线程（RemoteThread）的方法进入那个进程的内存地址空间。在DLL木马的范畴里，这个技术也叫做“注入”，当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时，木马就挂上去执行了，没有新进程产生，要想让木马停止惟有让挂接这个木马DLL的进程退出运行。但是，很多时候我们只能束手无策——它和Explorer.exe挂在一起了，你确定要关闭Windows吗？

3.木马的启动

有人也许会迫不及待的说，直接把这个DLL加入系统启动项目不就可以了。答案是NO，前面说过，DLL不能独立运行，所以无法在启动项目里直接启动它。要想让木马跑起来，就需要一个EXE使用动态嵌入技术让DLL搭上其他正常进程的车，让被嵌入的进程调用这个DLL的DllMain函数，激发木马运行，最后启动木马的EXE结束运行，木马启动完毕。

启动DLL木马的EXE是个重要角色，它被称为Loader，如果没有Loader，DLL木马就是破烂一堆，因此，一个算得上成熟的DLL木马会想办法保护它的Loader不会那么容易被毁灭。记得狼狈为奸的故事吗？DLL木马就是爬在狼Loader上的狈。

Loader可以是多种多样的，Windows的rundll32.exe也被一些DLL木马用来做了Loader，这种木马一般不带动态嵌入技术，它直接挂着rundll32进程运行，用rundll32的方法（rundll32.exe [DLL名],[函数] [参数]）像调用API一样去引用这个DLL的启动函数激发木马模块开始执行，即使你杀了rundll32，木马本体还是在的，一个最常见的例子就是3721中文实名，虽然它不是木马。

注册表的AppInit_DLLs键也被一些木马用来启动自己，如求职信病毒。利用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。

有一些更复杂点的DLL木马通过svchost.exe启动，这种DLL木马必须写成NT-Service，入口函数是ServiceMain，一般很少见，但是这种木马的隐蔽性也不错，而且Loader有保障。

4.其它

到这里大家也应该对DLL木马有个了解了，是不是很想写一个？别急，不知道大家想过没有，既然DLL木马这么好，为什么到现在能找到的DLL木马寥寥无几？现在让我来泼冷水，最重要的原因只有一个：由于DLL木马挂着系统进程运行，如果它本身写得不好，例如没有防止运行错误的代码或者没有严格规范用户的输入，DLL就会出错崩溃。别紧张，一般的EXE也是这样完蛋的，但是DLL崩溃会导致它挂着的程序跟着遭殃，别忘记它挂接的是系统进程哦，结局就是……惨不忍睹。所以写一个能公布的DLL木马，在排错检查方面做的工作要比一般的EXE木马多，写得多了自己都烦躁……

六、DLL木马的发现和查杀

经常看看启动项有没有多出莫名其妙的项目，这是Loader的所在，只要杀了狼，狈就不能再狂了。而DLL木马本体比较难发现，需要你有一定编程知识和分析能力，在Loader里查找DLL名称，或者从进程里看多挂接了什么陌生的DLL，可是对新手来说……总之就是比较难啊比较难，所以，最简单的方法：杀毒软件和防火墙（不是万能药，切忌长期服用）。

什么是木马计

木马既是特洛伊木马，木马计来源于特洛伊木马功城的故事。

特洛伊木马是在古希腊传说中，希腊联军围困特扰皮洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，斗李仔木马腹中躲藏空汪的希腊士兵打开城门，特洛伊沦陷。

后人常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。现在有的病毒伪装成一个实用工具或者一个可爱的游戏甚至一个位图文件等等，这会诱使用户将其安装在PC或者服务器上。这样的病毒也被称为“特洛伊木马”（trojan horse），简称“木马”

如何编写木马程序

怎样编写木马程序

您好

建议您不要去学习使用木马病毒，是属于违法犯罪行为。而且，如果您接收了木马病毒，那么该病毒会自动在您的电脑中优先运行。

建议您到腾讯电脑管家官网下载一个电脑管家。

在平时使用电脑的时候，打开电脑管家，可以受到电脑管家16层实时防护的保护和云智能预警系统，可以在木马活动早期侦测并阻断木马的破坏行为，通过云查杀技术秒杀最新流行木马。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

腾讯电脑管家企业平台：zhidao.baidu/c/guanjia/

如何编写木马程序？？

你想干什么？如果你只想玩玩，建议你学一下vbs脚本或bat脚本，如果你想把脚本做成exe程序，最简单的方法就是把脚本压缩到自解压文件里，再用16进制编辑器修改一下某个数值，就成功了。

如果你想干坏事，嘻嘻，木马也不是那么好写的，首先你要成为一个出色的程序员，不仅要打好C语言基础，更要精通汇编语言和计算机硬件以及操作系统原理，逻辑思维要强，当然要学的还很多，如mfc，C#等等，所以，如果你不是非常痴迷于编程，我劝你玩玩就行了，当然，更不要走上违法犯罪的道路吆！

good luck。

呀，还有，请采纳我吧，宝贝儿，嘻！

如何编写木马程序

如果对电脑感兴趣的话可以学习下，一般软件开发工程师都是学的高级语言，但是如果写木马，我们一般是要接触低级语言的，低级语言比高级语言学起来枯燥，但学成之后进阶高级语言很快而且比一般的程序员牛逼，高级语言配合底层知识才能写出更好的木马。底层知识越牢固越好。

怎样才能编程木马程序

北上陆掘哪罩广深这么多程序员，怎么没几个搞这种编程的？

一个原因就是没钱赚，另一个原因就是技术上要求太高。

好好的学编程，从你提这个问题来看，你都还没入门吧。

慢慢学，你会发现学得越多自己越无知，等你有五年以上开发经验的时候，再来看你现在的这个提问的时候，一定会笑话这个时候的自己的。

祝你在开发的路上快速成长！

木马是如何编写的（三）

很高兴为您解答：

木马编写是需要你懂的C++语言

首先是程序的大小问题，本程序经编译链接后得到的可执行文件竟有400多K，用Aspack1.07压了一下也还有200多K。可以看出不必要的Form是应该去掉的；并且尽量由自己调用底层的API函数，而尽量少使用Borland打好包的VCL控件；要尽量使用汇编语言（BCB支持C++和汇编混编），不但速度会加快，而且大小可以小很多，毕竟木马是越小越好。

还有启动方式的选择。出了Win.ini、System.ini之外，也还是那几个注册表键值，如：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

都已被其他的木马用烂了。现在又开始对exe、dll和txt文件的关联程序动手脚了（如冰河和广外女生）。这里涉及到参数传递的问题。得到ParamStr（）函数传来的参数，启动自己后再启动与之关联的程序，并将参数传递给它，这样就完成了一次“双启动”，而受害者丝毫感觉不到有任何异常。具体键值如：

与exe文件建立关联：HKEY_CLASSES_ROOT\exefile\shell\open\mand

与txt文件建立关联：HKEY_CLASSES_ROOT\txtfile\shell\open\mand

与dll文件建立关联：HKEY_CLASSES_ROOT\dllfile\shell\open\mand

等，当然还可以自己扩充。目前还有一种新方法：在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

\Windows

下添加如下键值"AppInit_DLLs"="Server.dll"，这就把Server.dll注册为系统启动时必须加载的模块（你应该把木马编译成DLL）。下早缓核次开机时，木马以动态链接库形式被加载，存在于系统进程中。因为没有它自己的PID（Process ID进程识别号），所以在NT的任务管理器中也看不见（不过在“系统信息”——“软件环境”——“已加载的32位模块”中还是可以详细看到当前内存中加载的每一个模块的），这样做的目的是可以使自己的程序更加隐蔽，提高木马的生存能力。

木马的功能还可以大大扩充。你可以充分发挥你的想象力——比如上传、下载、新建、改名、移动文件，截图存为jpg文件传回，录音监听成Wav文件，录像成AVI文件，弹光驱，读软驱，关机，重启，不停地挂起，胡乱切换分辨率（烧掉你的显示器），发对话框，不停地打开资源管理器直到死机，杀掉Kernel32.dll进程使机器暴死，交换鼠标左右键，固定鼠标，限制鼠标活动范围，鼠标不听指挥到处乱窜，记录击键记录（记录上网口令，这需要深入了解钩子（Hook）技术，如键盘钩子和鼠标钩子），窃取......

编写木马？

盗号木马~~~~楼主，这不是好玩的东西，不过看在高分悬赏的份上，就告诉你吧。可以通过 SendMessage发送 WM_GETTEXT取得密码框中的值，我们可以利用这一点来完成密码的截取。使用 Timer控件，监视QQ。用遍查窗口的方法(EnumWindows)，取得所有的窗口标题(GetWindowText)，判断其中是否为"QQ用户登录"的标题，取得QQ登录窗口的子窗口(窗口上的控件)的类名(GetClassName)，然后通过 boBox、Edit取得用户名和密码(通过 SendMessage发送 WM_GETTEXT取得值)。由于不能判断外部按键事件的发生，只有通过不断的取得密码值，具体方法如下：首先取得用户名的值，然后不停的取密码的值，再判断窗口的标题是否为用户名，如果为用户名，则最后一次密码的值就是真正的密码，到此程序完成。程序编制(1)首先为了避免程序被多次装载，造成系统资源的浪费、及不必要的错误。声明变量、过程及 API函数,写在 Module1.bas文件中 Declare Function CreateFileMapping Lib"kernel32" Alias"CreateFileMappingA"(ByVal hFile As Long, lpFileMappigAttributes As SECURITY_ATTRIBUTES, ByVal flProtect As Long, ByVal dwMaximumSizeHigh As Long, ByVal dwMaximumSizeLow As Long, ByVal lpName As String) As Long'创建一个新的文件映射对象

Private Declare Function CloseHandle Lib"kernel32"(ByVal hObject As Long) As Long'关闭一个内核对象

Type SECURITY_ATTRIBUTES

nLength As Long

lpSecurityDescriptor As Long

bInheritHandle As Long

End Type

Const PAGE_READWRITE= 1

Const ERROR_ALREADY_EXISTS= 183&

建立判断程序是否多启动的过程

Sub Main()

Dim ynRun As Long

Dim sa As SECURITY_ATTRIBUTES

sa.bInheritHandle= 1

sa.lpSecurityDescriptor= 0

sa.nLength= Len(sa)

ynRun= CreateFileMapping(&HFFFFFFFF, sa, PAGE_READWRITE, 0, 128, App.title)'创建内存映射文件

If(Err.LastDllError= ERROR_ALREADY_EXISTS) Then'如果指定内存文件已存在，则退出

CloseHandle ynRun'退出程序前关闭内存映射文件

End

End If

End Sub

(2)即时监视，就需要在系统启动时，程序自启动，这里使用修改注册表的方法声明变量、过程及 API......

木马程序是怎么编出来的

一个典型的蠕虫病毒有两个功能型部件：传播和破坏，流行的蠕虫病毒大都是利用操作系统或者应用程序的漏洞（以弱口令和溢出最为常见），但常常并不会对宿主机造成“致命”的破坏。这两个特点使蠕虫病毒比普通电脑病毒传播得更快，影响力更大。一般来说，单一的蠕虫病毒只针对某种特定的漏洞进行攻击，所以一旦这种漏洞得到大范围修补，病毒也就没有了生存空间。

更新这种设计，我把传播部件拆分开来：把扫描、攻击和破坏脚本化，主程序则负责解析这些脚本。例如针对ftp弱口令进行扫描，我们可以定义如下脚本：

code:

uid= iscript-0a21-2331-x#随机唯一编号

using tcp;

port 21;

send“user anonymous”;

send crlf;

send“pass [email protected]”

send crlf;

if(find“200”) resulrt ok;

next;

[copy to clipboard]

解析了这段脚本后（我想这种脚本是很容易读懂的），我们再定义一系列的过程，把我们的蠕虫体upload上去，一次完整的传播动作就完成了。如果是溢出漏洞，为了简单起见我们可以采集远程溢出的数据包，然后修改ip地址等必要数据，再转发溢出数据包进行溢出（这种情况下要实现connect-back就不容易了，不过这些具体问题就待有心人去研究吧），例如：

code:

using raw;

ip offset at 12;

send“\x1a\xb2\xcc”……

[copy to clipboard]d

主程序在完成传播后留下一个后门，其他宿主机可以通过这个后门与本地的蠕虫病毒同步传播脚本，这样每次有新的漏洞产生，宿主机的传播方式可以很快地得到升级。我们当然不会仅满足于这样一个蠕虫程序，扫描/攻击脚本的传播过程也是需要仔细处理的。

我们希望适应力（fitness）最强的脚本得到广泛的应用（看起来有点类似蚁群算法和 ga），所以我们要求得每个个体的fitness，当它和另一个体取得联系的时候就可以决定谁的传播脚本将取代另一个：

fitness= number of host infected/ number of host scanned

但也不能仅凭fitness就修改传播脚本，我个人觉得一个合适的概率是75%，20%的机会保持各自的传播脚本，剩下的5%则交换脚本。这样在维持每种脚本都有一定生存空间的情况下使适应性最好的个体得到更多的传播机会，同时，一些在某种网络环境下适应性不强的脚本也有机会尝试不同的网络环境。

木马程序是怎么写出来的？

您好：

建议您不要编写木马程序，木马程序会对您和别人的电脑造成损害的，如果您曾编写过此类不安全的软件的话，为了您电脑的安全，建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧，打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以，您可以点击这里下载最新版的腾讯电脑管家：最新版腾讯电脑管家下载

腾讯电脑管家企业平台：zhidao.baidu/c/guanjia/

怎么制作木马程序？

你需要学会编程才能编写木马编写木马最好用vc++。enet/eschool/video/c++/这是c++的教程，你学懂了这些皮毛的东西再深入研究内核编程吧如果上面的地址打不开可以到这里pconline/pcedu/empolder/gj/vc/0607/820674

怎么编写一个简单的木马程序?

特洛依木马这个名词大家应该不陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷，使在Dos——Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。

我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！要知道，木马（Trojan）的历史是很悠久的：早在AT&T Unix和BSD Unix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取得更高的权限。那时木马的主要方法是诱骗——先修改你的.profile文件，植入木马；当你登陆时将你敲入的口令字符存入一个文件，用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的薰陶下长大的，对网络可以说很陌生。直到Win9x横空出世，尤其是WinNt的普及，大大推动了网络事业的发展的时候，BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马（甚至在Win9x的“关闭程序”对话框可以看到进程）给了当时中国人极大的震撼，它在中国的网络安全方面可以说是一个划时代的软件。

自己编写木马，听起来很Cool是不是？！木马一定是由两部分组成——服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗？

启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NM*TP。Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和*TP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

我们首先应该让我们的程序能够隐身。双击Form，首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的......

END，本文到此结束，如果可以帮助到大家，还望关注本站哦！