内容简介
《黑客防线2009黑客编程VC专辑》独辟蹊径,专精于黑客编程实例,用流行的VC为编程平台,以各种实用的网络安全、黑客工具编写为主题,以功能主线为基础,涵盖7大类内容,包含木马后门类、扫描监控类、线程注入类、系统核心类、网络协议类、杀毒类和其他类程序编写,专注于它们的具体实现技术。 《黑客防线2009黑客编程VC专辑》以实例为引导,有代码都经过严格测试,并经过实际的编译测试,保证读者可以直接使用。《黑客防线2009黑客编程VC专辑》适合网络安全爱好者、程序员、网络管理员阅读。
目录
木马后门类
VC实现端口复用木马2
巧用WM_CREATE消息隐藏DLL木马6
VC编写精小反弹穿墙木马8
编程实现木马的ActiveX启动和注入IE的启动方式13
利用C++让木马也能修改桌面背景16
木马编程DIY之系统服务17
木马编程DIY之单实例运行21
木马编程DIY之注册表管理23
木马编程DIY之线程守护27
木马编程DIY之服务启动技术29
编程实现手机远程控制电脑33
为反弹远控服务端减肥37
打造自己的VNC后门生成器40
B/S模式远程控制简单实现43
编写Downloader制造机47
自己编程抓“肉鸡”48
自己编程抓“肉鸡”——将捕获消息进行到底51
基于反向连接的木马编写思路53
3389后门自己造54
编程实现修改注册表完成程序自启动56
Windows2003下的进程隐藏58
服务级后门自己做61
利用远程线程技术制造隐身程序65
看我双兔傍地走——编程实现木马合并68
用原始套接字创建穿墙木马72
让木马藏得更深——线程注射技术新发展(上)76
让木马藏得更深——线程注射技术新发展(下)81
穿过防火墙的Shell后门83
捆绑任意可执行文件做木马85
魔兽盗号木马DIY88
经典重现之NameLess后门技术全面分析93
完整B/S后门开发实战96
VC编写获取服务端系统信息的C/S型木马104
扫描监控类
构造自己的ARP扫描和欺骗工具108
文件监控开发过程110
利用WinPcap编写驱动Sniffer114
直接访问键盘控制芯片获取键盘记录117
小波变换+线性预测+LZ77算法实现极速屏幕监控120
自己动手编写SQL注入漏洞扫描器126
用原始套接字实现网络入侵检测系统129
一个简易网络嗅探器的实现135
编写调用门键盘记录程序137
自己编写IP包监视工具141
四种方法实现VC枚举系统当前进程144
编写无驱动的Sniffer147
键盘监视器原理及反窥探技术149
如虎添翼——给嗅探器加上数据还原!154
打造自己的程序行为监视器160
线程注入类
基于EPROCESS结构中双向链表的进程检测方法166
卸载远程进程中的DLL168
进程的冻结与解冻170
植入执行文件穿越软件防火墙172
一种基于PspCidTable的进程检测方法174
进程隐藏技术解析——DLL远程线程插入主程序177
编程实现远程Shell的获取182
编程实现线程插入后门防范186
SQL注入步步高——打造自己的扫描+注入综合工具189
无进程式线程插入穿墙技术实现194
搞定远程进程注入DLL——以ShellCode之名199
系统核心类
利用HookAPI实现进程守护204
详解挂钩SSDT206
浅窥导入函数及输出导入表的内容209
Ring3下安全获取原始SSDT地址211
Ring0中HookSSDT防止进程被结束213
Ring0下恢复SSDTShadow216
让一切输入都难逃法眼——驱动级键盘过滤钩子的实现220
内核状态下拦截注册表操作防范木马224
妙不可言——挂接ExitWindowsEx227
NT操作系统下的Rootkit技术初探228
内核级编程实践之进程检测232
MessageHook攻与防234
API拦截——实现Ring3全局HOOK238
内核方法实现进程保护242
感染PE文件加载DLL249
在内核驱动中检测隐藏进程254
主动防御之注册表保护255
Ring3下终止江民KV2008259
RootKit文件隐藏技术实现262
编程打造自己的SSDT恢复工具265
基于线程的隐藏进程检测271
再谈内核及进程保护274
用开源反汇编引擎检测inlinehook277
Rootkit端口隐藏实现279
Ring0中强行结束进程283
直接调用NTFS文件驱动检测隐藏文件285
用文件系统过滤驱动实现文件隐藏289
InlinehookKeyboardClassServiceCallback实现键盘记录291
恢复Rin
摘要与插图
木马后门类VC实现端口复用木马
不知大家是否还记得《黑客防线》杂志上曾发表过的《编程打造cmdshell客户端》这篇文章7那篇文章主要是讲一个命令行下网络通信的模型。我起初是为编写自己的端口复用木马服务的,下面我就把这个不影响原服务的端口复用木马继续完成吧!
其实想实现端口复用很容易,在创建了一个SOCket之后。用setsockOPt设置SOcket的S0—REUSEADDR属性就可以了。当然,要防止别人复用你的端口也很简单,用setsockOPt指定S0—EXCLUSIVEADDRUSE就可以独占端口地址了。
我在开始编写前下载了一个wxhshell。它是加了端口复用功能的WinShell。我自己试了一下它的功能,发现在Windows XP+SP2+IIS5.1下可成功,在Windows 2003+1 1S6,0下没有成功。而在Windows XP下正常工作时,IIS就不能正常工作了,这要是放在“肉鸡”上,别人的网页都访问不了了,那管理员就会轻易发现问题。因此,这篇文章的重点就在这里——正确区分木马访问和正常的Ils访问,然后再分别加以处理。