第五步:不要以为这就结束了，木马是狡猾的，很多木马还包含一个隐藏后门。执行刚刚生成的木马服务器端(没有手动清理病毒能力的读者请勿轻易尝试，并对系统进行备份，以便还原)。

2005年注定是网络游戏盛行的一年，木马这个名词我想各位一定不陌生吧？游戏账号被人偷窃屡见不鲜。很多玩家因为报复的心理也想方设法去偷取其他人的号，于

如何制作网页游戏盗号木马

屏幕截图和键盘记录并发执行的效果。通过该项目的学习和实现t手游咸盒子特选酷乐鱼游戏，可以了解木马程序的基本结构和原理，加强对Linux的底层的了解，实践网络编程及相关应用。

基于Linux的设备管理相关知识和evdev库的使用，实现键盘记录，并详细介绍了缓冲区的处理方法和网络编程的相关知识。利用多进程编程实现

在程序运行期间，你可以在键盘上任意输入就可以进行记录了。运行效果如下,其中shot.png是服务器保存下来的屏幕截图，key.txt是键盘记录的数据。

的多进程编程常用的库是muptiprocessing,multiprocessing库提供了非常强大的功能，支持子进程、通讯和共享数据。 但因本程序限制在linux环境下，

上述我们实现了键盘记录、截图功能、数据发送功能。根据4.2，在这里讲述下Python的多进程编程，将上述功能组合在一起实现并发运行。 Python下

在本程序中我们除了发送键盘输入数据外还有屏幕截图，因为这两个功能是并行执行的，所以这两类数据的发送不能共用同一个服务器连接(否则键盘数据和图像数据混合在一起就没法区分了)。本程序维护了一个服务器连接的类,

现在思考一下在这个木马程序中我们需要给服务器发送那些数据，很容易分析出我们需要传输<文件名，文件类型，文件的具体内容，结束标志>，为什么需要结束标志咧？因为客户端已经发送完数据了，需要通知服务器数据已经完成，可以断开连接了，这个时候客户端和服务器就能正常断开连接，将资源还给操作系统了。

根据前面的步骤我们已经获取我们所需要的屏幕截图和键盘输入的数据，接下来我们需要将这些数据发送到指定的服务器。在这里需要了解下Python的网络编程的相关知识。首先介绍服务端的编程的基本步骤:

在linux终端下执行下列命令(如linux运行在docker环境中无/dev/input目录，如发现/dev/input目录存在，请跳过此实验步骤或者在本地Linux环境下实验)

下找到，通过查看devices/name可以发现，该文件记录了设备的描述信息。更多关于设备文件和虚拟内存文件系统的知识可以参考这里。

欢迎大家加入小编创建的Python行业交流群，有大牛答疑，有资源共享，有企业招人！是一个非常不错的交流基地！群号：683380553

input子系统是linux kernel中与外部输入设备联系比较紧密的模块，例如我们的键盘设备会映射到/dev/input目录下的某个设备文件，由于键盘属于字符设备，所以我们可以将其当做普通的文件来操作(比如read、write)。通过不断的读取键盘设备文件,就可以完全获取到用户的键盘输入。注意该程序无法运行在windows和macos系统下。

木马程序会给普通用户带来很多危害，比如盗取QQ账号，游戏账号等。课程将用Python实现一个简易的木马程序,该程序会记录用户的键盘输入和屏幕截图并将数据发送到指定的服务器。通过分析键盘输入的数据，可以分析出root密码和其他账号的密码等等。

怎么无文件启动？base64解密内存数据之后再调用注入系统进程吗？

查杀木马好用的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等，利用这些工具绝大多数的已知木马都可以查杀掉。

什么叫过时的技术，我终于懂了

常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务"Print Spooler"所对应的可执行程序，其作用是治理所有本地和网络打印队列及控制所有打印工作。假如此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。假如你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，假如系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。

别以为你说这么多我就懂了

常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在"命令提示符"中输入"rundll32.exe user32.dll,LockWorkStation"，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为"C:\Windows\system32"，在别的目录则可以判定是病毒。

explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为"C:\Windows"目录，除此之外则为病毒。

常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的"资源治理器"。假如在"任务治理器"中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击"任务治理器"→"文件"→"新建任务"，输入"explorer.exe"后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们治理计算机中的资源。

在Windows系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。假如svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程治理工具，例如Windows优化大师的进程治理功能，查看svchost.exe的可执行文件路径，假如在"C:\WINDOWS\system32"目录外，那么就可以判定是病毒了。

木马常利用的系统进程有：svchost.exe、explorer.exe、iexplore.exe、winLOGOn.exe等进程。

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。

恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户却很少用的，然后把这个账户的权限提升为管理员权限，这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况，可以用以下方法对账户进行检测。

Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看，在该文件的[boot]字段中，是不是有shell=Explorer.exe file.exe这样的内容，如有这样的内容，那这里的file.exe就是木马程序了！

由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。

步骤3：单击"打开"按钮，即可开始进行压缩，如下图所示。在"压缩"选项卡中可进行压缩、测试操作，并在完成之后生成加壳后的文件。

步骤2：选择"打开文件"选项卡，单击"打开"按钮，即可打开"选择要压缩的文件"对话框，在其中选择需要加壳的文件，如下图所示。

大家知道现在的病毒查杀软件对已知的木马程序很容易就查杀掉，所以当你好不容易制作的木马传播出去后，轻松就被客户端查杀掉了，这时我们就要利用加壳技术，给木马套个"壳"防止被杀

灰鸽子简介： 灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。

用异步SOCKET方式, 直接调用WINSOCK API,WIN SDK写的木马(VC,C++ BUILDER下均编译,调试通过),无须客户端,编译后才几十K.实现了些 主要功能,文件浏览,上传,下载(均支持统配符),改变目录,获取系统信息,从CACHE取密码, 执行文件,显示进程, 发送消息,关机, 还有些控制功能。

AnsiString NewProgramName=AnsiString(sys)+AnsiString("+PName/">//")+PName

rsp=(int(CALLBACK *)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");//找到RegisterServiceProcess的入口

为了隐蔽起见，客户端 (控制端)的被动端口一般设置为80（浏览网页必须开的端口），这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP:1026 ControllerIP:80 ESTABLISHED的情况，不明真相的用户就会以为自己在浏览网页，并且，防火墙一般不会禁止用户向外连接80端口。

这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方的计算机。

当黑客侵入一台计算机并种上了DOS攻击木马后，日后这台计算机就成了黑客DOS攻击的最得力的帮手。黑客控制的计算机数量越多，发动DOS攻击取得成功的概率就越大，所以，这种木马的危害不是体现在被感染的计算机上，而是体现在攻击者可以利用它来攻击网络上的其他的计算机。

Dos全名是Denial of service（拒绝服务）。它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃。

远程访问型木马程序一般包括客户端程序和服务端程序，在目标主机上执行了服务端程序之后，只要用户知道目标主机的IP地址或主机名，就可以与目标主机连接，连接成功后，用户通过客户端程序提供的远程操作功能就可以实现对目标主机的监视与控制。

第一代windows木马只是一个将自己伪装成特殊的程序或文件的软件，如伪装成一个用户登录窗口，当用户运行了木马伪装的登录窗口三国游戏单机赤壁攻略，输入用户名和密码后，木马将自动记录数据并转发给入侵者。

例如，图像文件的扩展名不可能是.exe，而木马程序的扩展名又必定是.exe，大多数用户在看到扩展名为".exe"的文件时，就会很小心。于是设计者就将文件名进行一些改变，例如将"picture.tiff"更改为"pitcture.tiff.exe"，因为windows默认是不显示扩展名的，于是用户就只能看到"picture.tiff"，很容易将其作为一个图片文件而启动。

很多老式的木马端口都是固定的，只要查一下特定的端口就知道感染了什么木马。现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024～65535之间任选一个端口作为木马端口，一般不选1024以下的端口，这就给判断所感染的木马类型带来了麻烦。

例如，把木马服务端和某个游戏，或者flash文件捆绑成一个文件通过QQ或邮件发送给受害者。当受害者对这个游戏或flash感兴趣而下载到机器上，并开打了该文件，木马程序就会悄悄运行。

入侵者可以通过一些黑客软件，如著名的Deception Binder，完成文件的捆绑，之后将这些捆绑文件放到网站、FTP、BT等资源下载场所，当用户下载并执行捆绑文件，同时就启动了木马的服务端程序。

例如：在正常情况下，txt文件的打开方式为notepad.exe文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开。例如著名的国产木马冰河就是这样。

启动组是专门用来实现应用程序自启动的地方。启动组文件夹的位置为"C:\Documents and Settings\All Users\「开始」菜单\程序\启动"。

在System.ini文件中的[boot]字段的shell=Explorer.exe中是木马常用的隐藏加载的地方。木马最惯用的伎俩就是把本应是"Explorer.exe"变成自己的程序名，名称伪装成几乎与Explorer.exe一样，只需稍稍改"Explorer"的字母"l"改为数字"1"，或者把其中的"o"改为数字"0"，这些改变如果不仔细留意是很难被人发现的。或者是shell=Explorer.exe 的后面加上木马程序的路径，如：shell=Explorer.exe sample.exe，这里的sample.exe就是木马服务端程序。

在Win.ini文件中的[Windows]字段中有启动命令"load="和"run="。默认情况下，"="后面是空白的。这两项分别是用来当系统启动时自动加载和运行的程序，如果木马程序加载到这两项中，那么系统启动后即可自动地加载和运行。

专题： 单机三国志游戏   单机游戏新三国   三国单机游戏站