黑客技巧之用VB实现木马式隐形运行程序

  在一些系统，为了特定目标，每每要求程序隐藏起来运转，例如DCS（集散控制系统）中的后台监控系统、木马控制程序、源码防拷贝等，以减少被发现、截杀和反汇编的风险。这种功能模块要求程序在运转期间不但不会在桌面呈现，也不容许被操纵者从任务管理器列表中发现。
  程序隐形的原理
  对付一个隐形程序而言，最基本的要求是：
  1. 不在桌面呈现界面；
  2. 不在任务栏呈现图标；
  3. 程序名从任务管理器名单中消散。
  对付上述第一点，可以将Form的Visible属性设为False。
  要将图标从任务栏中屏蔽失，可以把Form的ShowInTaskBar改为False。
  在Windows环境下，可以调用WIN API函数中的RegisterviceProcess来实现第三个要求。
  上述功能，不论用VC、Delphi、VB，还是PB等任何一种高级编程语言都是比较容易实现的。
  隐形功能多用于木马程序，但木马程序在很多国家和地域是不正当的，为便于明白，本文用VB结合一个程序防拷贝的实例来解说。通过获取软件安置路径地点磁盘序列号（磁盘ID），用做对正当用户的果断。以下程序的目标是用于解说隐形程序的编制和使用，对程序防拷贝内容作了肯定水平的简化。
  程序隐形的示例
  程序的详细编制操纵如下：
  1. 在VB6.0编程环境中，新建一个工程Project1。
  2. 在Project1中添加模块Modulel，在工程属性中将工程称号改为HiddenMen，使用程序标题也改为HiddenMen（以下程序都经过实际运转测试，可以原样复制使用）。
  在模块Module1中加入如下声明：
  Public Declare Function GetCurrentProcessId Lib “kernel32” () As
  Long
  ’得到当前历程ID函数的声明
  Public Declare Function RegisterServiceProcess Lib “kernel32” (ByVal ProcessId As
  Long, ByVal ServiceFlags As   Lo ng) As Long
  ’在系统中注册当前历程ID函数的声明
  3. 在Project1中新建一个窗体Form1，设置Form1的属性：
  form1.Visible=False
  form1.ShowInTaskBar=False
  在代码窗口添加如下代码：
  Private Declare Function GetDriveType Lib “kernel32” Alias “GetDriveTypeA” (ByVal
  nDrive As String) As Long
  ’得到当前驱动器范例函数的声明
  Private Declare Function GetVolumeInformation Lib “kernel32” Alias
  “GetVolumeInformationA” (ByVal lpRootPathName As String, ByVal lpVolumeNameBuffer As
  String, ByVal nVolumeNameSize As Long, lpVolumeSerialNumber As Long,
  lpMaximumComponentLength As Long, lpFileSystemFlags As Long, ByVal lpFileSystemNameBuffer
  As String, ByVal nFileSystemNameSize As Long) As Long
  ’得到当前驱动器信息函数的声明
  Private Sub Form_Load()
  Dim drive_no As Long, drive_flag As Long
  Dim drive_chr As String, drive_disk As String
  Dim serial_no As Long, kkk As Long
  Dim stemp3 As String, dflag As Boolean
  Dim strlabel As String, strtype As String，strc As Long
  RegisterServiceProcess GetCurrentProcessId, 1 ’ 从系统中取消当前历程
  strlabel = String(255, Chr(0))
  strtype = String(255, Chr(0))
  stemp3 = “172498135” ’这是作者C盘的序列号（十进制）,读者可根据自己环境更改。
  dflag = False
  For drive_no = 0 To 25
  drive_disk = Chr(drive_no + 67)
  drive_chr = drive_disk & “:\”
  drive_flag = GetDriveType(drive_chr)
  If drive_flag = 3 Then
  kkk = GetVolumeInformation(drive_chr, strlabel, Len(strlabel), serial_no, 0, 0,
  strtype, Len(strtype)) ’通过GetVolumeInformation得到磁盘序列号
  Select Case drive_no
  Case 0
  strc = serial_no
  End Select
  If serial_no = stemp3 Then
  dflag = True
  Exit For
  End If
  End If
  Next drive_no
  If drive_no = 26 And dflag = False Then ’合法用户
  GoTo err:
  End If
  MsgBox (“HI，正当用户！”)
  Exit Sub
  err:
  MsgBox (“错误!你的C：盘ID号是” & strc)
  End Sub
  Private Sub Form_Unload(Cancel As Integer)
  RegisterServiceProcess GetCurrentProcessId, 0 ’从系统中取消当出息序的历程
  End Sub
  将上述程序代码编译后运转，在呈现类似“错误！你的C盘ID号是172498135”对话框时，按下Ctrl+Alt+Del键，看看程序名叫“HiddenMen”能否在任务管理器名单列内外。如果把上述程序稍加改动，可以加到自己特定的程序中去。该程序在隐形运转之中，不知不觉就完成了预定功能。
  以上程序在简体中文Windows 98和VB 6.0环境中调试通过。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：