Cuando mi computadora está navegando por Internet, de repente no se puede abrir la página web y el ícono del escritorio no se puede abrir. De todos modos, no se pueden realizar todas las operaciones, solo se puede mover el mouse.
No importa lo misteriosos que todos piensen de los troyanos, y no importa cuán poderosas funciones puedan lograr los troyanos, los troyanos son esencialmente sólo un programa cliente/servicio de red. Entonces, comencemos escribiendo un programa de servicio/cliente de red.
1. Conceptos básicos:
El principio del modelo de red cliente/servicio es que un host proporciona servicios (servidor) y otro host recibe servicios (cliente). El host como servidor generalmente abre un puerto predeterminado y escucha (Escuchar). Si un cliente realiza una solicitud de conexión (Solicitud de conexión) a este puerto del servidor, el programa correspondiente en el servidor se ejecutará automáticamente para responder a la solicitud del cliente. , este programa se llama demonio (un término UNIX, pero ha sido portado al sistema MS). Para Glacier, el terminal controlado se convierte en un servidor, el terminal controlador es un cliente, G_server.exe es el proceso demonio y G_client es la aplicación cliente.
(¡La gente a menudo se confunde con esto y a menudo se plantan caballos de Troya! ¡¡Algunas personas incluso discuten conmigo hasta que se sonrojan y se desmayan!!)
2. Implementación del programa:
En VB, puede usar controles Winsock para escribir programas de servicio/cliente de red. El método de implementación es el siguiente:
(G_Server y G_Client son controles Winsock)
Servidor:
G_Server.LocalPort=7626 (puerto predeterminado glacial, se puede cambiar a otros valores)
G_Server.Listen (esperando conexión)
Cliente:
G_Client.RemoteHost=ServerIP (configura la dirección remota en la dirección del servidor)
G_Client.RemotePort=7626 (configura el puerto remoto en el puerto predeterminado de Binghe, jaja, ¿lo sabes? Este es el cumpleaños de Binghe )
(Aquí puede asignar un puerto local a G_Client. Si no está asignado, la computadora asignará uno automáticamente. Se recomienda dejar que la computadora lo asigne automáticamente)
G_Client. Conectar (llame al método de conexión de control de Winsock)
Una vez que el servidor recibe la solicitud de conexión del cliente ConnectionRequest, acepta la conexión
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
El cliente usa G_Client.SendData para enviar el comando y el servidor acepta y ejecuta el comando en el evento G_Server_DateArrive (casi todos los troyanos). las funciones están en esta implementación del controlador de eventos)
Si el cliente se desconecta, cierre la conexión y vuelva a escuchar el puerto
Private Sub G_Server_Close()
G_Server .Close (Cerrar la conexión)
p>G_Server.Listen (escuchar de nuevo)
End Sub
Otras partes se pueden realizar pasando comandos. El cliente carga un comando y el servidor interpreta y ejecuta el comando...
2. ¡Los caballos de Troya controlan el mundo! )
Dado que Win98 abre todos los permisos a los usuarios, los programas troyanos que se ejecutan con permisos de usuario pueden controlar casi todo. Echemos un vistazo a lo que Glacier puede hacer (después de leer esto, estará de acuerdo con mi punto de vista: No es apropiado llamar a Binghe un caballo de Troya. Binghe ha implementado tantas funciones que son suficientes para convertirse en un software de control remoto exitoso)
Debido a que Binghe tiene demasiadas funciones, no puedo explicarlo en detalle. por uno, por lo que lo siguiente es solo una breve descripción general de las funciones principales de Glacier, principalmente utilizando las funciones API de Windows. Si desea conocer las definiciones y parámetros específicos de estas funciones, consulte el manual de WinAPI.
1. Monitoreo remoto (controla el mouse y el teclado de la otra parte y monitorea la pantalla de la otra parte)
keybd_event simula una acción del teclado (esta función admite capturas de pantalla).
mouse_event simula un evento de mouse (los parámetros de esta función son demasiado complicados, el editor me regañará si los escribo todos aquí, solo puedo escribir algunos puntos principales, verifique WinAPI para los demás )
mouse_event(dwFlags, dx, dy, cButtons, dwExtraInfo)
dwFlags:
MOUSEEVENTF_ABSOLUTE especifica una posición absoluta en el sistema de coordenadas del mouse.
MOUSEEVENTF_MOVE mueve el ratón
MOUSEEVENTF_LEFTDOWN simula la pulsación del botón izquierdo del ratón
MOUSEEVENTF_LEFTUP simula el levantamiento del botón izquierdo del ratón
MOUSEEVENTF_RIGHTDOWN simula el movimiento derecho al presionar el botón del mouse Siguiente
MOUSEEVENTF_RIGHTUP simula presionar el botón derecho del mouse
MOUSEEVENTF_MIDDLEDOWN simula presionar el botón central del mouse
MOUSEEVENTF_MIDDLEUP simula presionar el botón central del mouse
dx,dy:
Coordenadas del mouse en MOUSEEVENTF_ABSOLUTE
2. Registre diversa información de contraseña (por razones de seguridad, este artículo no trata este tema y no escriba a me pregunta)
3. Obtener información del sistema
a. Obtener el nombre de la computadora GetComputerName
b. Cambiar el nombre de la computadora SetComputerName
c. Función GetUserName del usuario actual
d. Ruta del sistema
Establecer FileSystem0bject = CreateObject("Scripting.FileSystemObject") (Crear un objeto del sistema de archivos)
Establecer SystemDir = FileSystem0bject. getspecialfolder(1)
(Obtener el directorio del sistema)
Set SystemDir = FileSystem0bject.getspecialfolder(0)
(Obtener el directorio de instalación de Windows )
(Recordatorio: FileSystemObject es un objeto muy útil, puede usarlo para completar muchas operaciones útiles con archivos)
e. Obtenga la versión del sistema GetVersionEx (también existe GetVersion, pero en Windows de 32 bits puede haber problemas, por lo que se recomienda utilizar GetVersionEx
f Resolución de pantalla actual
Ancho = screen.Width \ screen.TwipsPerPixelX
.Height= screen. Height \ screen.TwipsPerPixelY
De hecho, si no utilizamos la API de Windows, podemos obtener fácilmente todo tipo de información del sistema, que es el "basurero" de Winodws - el registro
Por ejemplo, nombre de computadora e identificación de computadora:
Comentario, nombre de computadora y grupo de trabajo en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP
Registre la empresa y el nombre de usuario:
HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo
En cuanto a cómo obtener el valor de la clave de registro, consulte la Parte 6
4. Restringir las funciones del sistema
a. Apague o reinicie la computadora de forma remota usando WinAP.
Se pueden implementar las siguientes funciones en I:
ExitWindowsEx(ByVal uFlags, 0)
Cuando uFlags=0 EWX_LOGOFF finaliza el proceso y luego cierra la sesión
= 1 EWX_SHUTDOWN Cerrar Apagar el sistema
=2 EWX_REBOOT Reiniciar el sistema
=4 EWX_FORCE Finalizar a la fuerza el proceso que no responde
Bloquear el mouse
ClipCursor(lpRect As RECT) puede limitar el puntero a un área específica o usar ShowCursor(FALSE) para ocultar el mouse
Nota: RECT es un rectángulo, definido de la siguiente manera:
Escriba RECT
Izquierda mientras sea larga
Arriba mientras sea larga
Derecha mientras sea larga
Abajo mientras sea larga
Tipo final
c. Hay demasiadas formas de bloquear el sistema Jeje, es difícil evitar que Windows falle. Por ejemplo, creemos un bucle infinito. algunas habilidades para bloquear completamente el sistema. Por ejemplo, vulnerabilidades del dispositivo o agotamiento de recursos...
d. Desconectar a la otra parte de RasHangUp...
Terminar el proceso ExitProcess. ... ...
f. Cierre la ventana y use la función FindWindow para encontrar la ventana y use la función SendMessage para cerrar la ventana
5. p>
Independientemente del lenguaje de programación, las funciones de operación de archivos son relativamente simples, por lo que no entraré en detalles aquí. También puede usar el objeto FileSystemObject mencionado anteriormente para implementarlas
6. Operaciones de registro
En VB, siempre que Set RegEdit=CreateObject ("WScript.Shell")
pueda utilizar las siguientes funciones de registro:
Eliminar valor clave: RegEdit.RegDelete RegKey
Agregar valor clave: RegEdit.Write RegKey, RegValue
Obtener valor clave: RegEdit.RegRead (Valor)
Recuerde, el valor clave del registro debe escribirse en la ruta completa; de lo contrario, las cosas saldrán mal.
7. Enviar un mensaje
Es muy simple, es solo un cuadro de mensaje emergente. Se puede realizar con MsgBox("") en VB, y así es. No es demasiado difícil con otros programas.
8. Comunicación entre pares
Jaja, simplemente revisa cualquier software de chat para esto.
(Porque es relativamente simple pero molesto, por lo que No lo haré, jaja. Además: todavía no entiendo por qué Binghe hizo esto en Trojan, estoy confundido...)
9. Cambia el fondo de pantalla
Llame a SystemParametersInfo(20, 0, "Nombre de ruta BMP", amp; H1)
Vale la pena señalar que si usa Active Desktop, es posible que no se pueda cambiar el fondo de pantalla. Si encuentra este problema, por favor. No lo busques Glacier y yo, vayamos a buscar a Bill Gai.
3. Capítulo Stealth (Windows, un gran bosque del escondite)
Los caballos de Troya no son programas de servicios de red legales (incluso si instalas el caballo de Troya en la máquina de tu novia). , es ilegal, por supuesto, puedo entender este comportamiento, jaja), por lo tanto, debe intentar todos los medios para ocultarse. ¡Afortunadamente, Windows es un gran bosque del escondite!
1. En la barra de tareas Escóndete en:
Esto es lo más básico. Si ni siquiera puedes hacer esto... (Imagínate si aparece un icono de un caballo de Troya de ajedrez en la barra de tareas de Windows. ..@#$. !#@$...¡Es demasiado arrogante!)
En VB, siempre que la propiedad Visible del formulario esté configurada en False y ShowInTaskBar esté configurada en False, el programa no aparecerá en la barra de tareas. .
2. Invisible en el administrador de tareas: (es decir, el proceso llamado "Caballo de Troya" no se puede ver al presionar Ctrl Alt Supr)
Esto es un poco difícil, pero Sigue siendo difícil. Al contrario de nosotros, configurar el programa como "Servicio del sistema" puede disfrazarse fácilmente de las tropas directas de Bill Gate (Windows, somos la misma familia que tú, no le digas a los demás dónde me escondo...).
El siguiente código en VB puede lograr esta función:
Función de declaración pública RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long
Función de declaración pública GetCurrentProcessId Lib "kernel32" () siempre que
(La declaración anterior)
Private Sub Form_Load()
RegisterServiceProcess GetCurrentProcessId, 1 (Registrar servicio del sistema)
End Sub
Private Sub Form_Unload()
RegisterServiceProcess GetCurrentProcessId, 0 (Cancelar servicio del sistema)
End Sub
3. Cómo iniciar silenciosamente:
Por supuesto, no espera que los usuarios hagan clic en el icono del troyano para ejecutar el servidor cada vez que inician. Lo que el troyano debe hacer es Lo importante es cómo cargar automáticamente el servidor cada vez que el usuario lo inicia (lo primero importante es cómo convertir a la otra parte en un caballo de Troya, oye, esta parte se mencionará más adelante)
Windows admite una variedad de El método para cargar aplicaciones automáticamente cuando se inicia el sistema (es casi como un método personalizado para troyanos. El grupo de inicio, win.ini, system.ini, registro, etc. son todos buenos). Lugares donde se esconden los troyanos.
Glacier utiliza una variedad de métodos para garantizar que no puedas deshacerte de él (¿por qué suena un poco acosador? Ups, ¿quién es ese, Huang Xin? ¡No me arrojes huevos!) En primer lugar, Glacier registrará lt;systemgt;\kernl32.exe (lt;systemgt; es el directorio del sistema) y se agrega a los valores clave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run y RUNSERVICE de la tabla. Si eliminas este valor clave, pensarás. Mientras tomaba té con orgullo, Binghe apareció de nuevo... ¿Qué pasó? Resulta que el servidor de Binghe generará un servidor en c:\windows (esto cambiará con su directorio de instalación de Windows). Se llama archivo sysexplr.exe (muy parecido a Super Jieba, ¡qué venenoso, Glacier! Este archivo está asociado con el archivo de texto siempre que abra el texto (cuántas veces no abre el texto en un día). ?), el archivo sysexplr.exe krnel32.exe se regenerará y Glacier seguirá controlándolo. (Así es como Glacier ha ocupado durante mucho tiempo los preciosos recursos del sistema de los trabajadores pobres, 555555)
4. Puertos
Los troyanos prestarán gran atención a sus propios puertos (lo que ¿Te importa el tuyo? ¿Más de 60.000 puertos?), si prestas atención, encontrarás que los puertos troyanos generalmente están por encima de 1.000 y son cada vez más grandes (netspy es 1243...) Esto se debe a que , por debajo de 1000 Los puertos son puertos de uso común y ocuparlos puede causar anomalías en el sistema, por lo que los troyanos quedarán fácilmente expuestos y porque el escaneo de puertos lleva tiempo (un escáner de puertos rápido tardará unos veinte minutos en escanear de forma remota) (completar todo); puertos), por lo que usar un puerto como 54321 le dificultará descubrirlo. Al final del artículo, volví a publicar una tabla de puertos de troyanos comunes para que la revises (sin embargo, vale la pena recordar que Glacier y muchos troyanos más nuevos brindan funciones de modificación de puertos, por lo que, de hecho, los troyanos pueden aparecer en cualquier puerto). /p>
5. La última tecnología sigilosa
Actualmente, además de la tecnología sigilosa utilizada por Glacier, han surgido métodos más nuevos y encubiertos, es decir, programas de controladores y tecnología de biblioteca de enlaces dinámicos ( ¿Glacier 3.0 adoptará este método?).
La tecnología de controlador y biblioteca de enlaces dinámicos es diferente de los troyanos comunes. Básicamente, elimina el modo troyano original: el puerto de escucha y adopta el método de reemplazar las funciones del sistema (reescribir el controlador o la biblioteca de enlaces dinámicos). El resultado de esto es: no se agregan nuevos archivos al sistema (por lo que no se puede eliminar mediante el escaneo), no hay necesidad de abrir nuevos puertos (por lo que no se puede eliminar mediante el monitoreo de puertos) y no hay nuevos procesos. (por lo tanto, el proceso de uso no se puede encontrar comprobando y su ejecución no se puede finalizar al finalizar el proceso).
Durante el funcionamiento normal, el troyano casi no presenta síntomas, pero una vez que el extremo de control del troyano envía un mensaje específico al extremo controlado, el programa oculto comienza a funcionar inmediatamente...
De hecho, he visto varios troyanos de este tipo, entre los que hay un troyano que crea archivos compartidos ocultos reescribiendo archivos vxd... (Habrá nuevas olas en el mundo)
Un breve análisis de Glacier - Develando el Misterio del Caballo de Troya (Parte 2)
Autor: · shotgun·yesky
Capítulo Cracking (El diablo tiene un pie de alto, el camino tiene diez pies de alto)
Este artículo analiza principalmente los principios básicos de los caballos de Troya. El craqueo de los caballos de Troya no es el tema central de este artículo (ni es mi punto fuerte). Para los craqueos específicos, espere con ansias "Trojan Horses Come Over" de yagami. " (Lo he estado esperando durante un año, todos. Estén atentos, jeje). Este artículo es solo un pequeño resumen de los métodos comunes de desinstalación y defensa de troyanos:
1. Escaneo de puertos
El escaneo de puertos es verificar de forma remota. La mejor manera de verificar si hay troyanos en la máquina es que el principio del escaneo de puertos es muy simple. El escáner intenta conectarse a un puerto determinado. significa que el puerto está abierto. Si falla o excede un cierto tiempo (tiempo de espera), significa que el puerto está cerrado. (En cuanto al escaneo de puertos, Oliver tiene un artículo sobre "escaneo de semiconexión", que es muy interesante. El principio de ese tipo de escaneo es diferente, pero está más allá del alcance de este artículo)
Pero vale la pena explicar que, para los troyanos de controlador/enlace dinámico, el escaneo de puertos no funciona.
2. Ver conexiones
Los principios de visualización de conexiones y escaneo de puertos son básicamente los mismos, excepto que todos los TCP se ven en la máquina local a través de netstat -a (o un tercero- programa de fiesta) /conexión UDP, verificar la conexión es más rápido que el escaneo de puertos. La desventaja es que no puede detectar el controlador/troyano de enlace dinámico y solo se puede usar localmente.
3. Verifique el registro
Como se mencionó anteriormente cuando se analizó cómo iniciar troyanos, los troyanos se pueden iniciar a través del registro (parece que ahora la mayoría de los troyanos se inician a través del registro (en al menos use el registro como una forma de autoprotección), entonces también podemos encontrar "huellas de pezuñas de caballo" revisando el registro. Para conocer los rastros dejados por Glacier en el registro, consulte "Stealth".
4. Buscar archivos
La búsqueda de archivos específicos de troyanos también es un método común (lo sé, el archivo característico de Binghe es G_Server.exe, ¿verdad? ¡Idiota! ¿Cómo? ¿Puede ser tan simple, Binghe? Es astuto y astuto...) Uno de los archivos de firma de Glacier es kernl32.exe (maldita sea, está disfrazado de kernel de Windows), y el otro es más sutil, es sysexlpr.exe (qué, ¿No es un súper Jieba?) ¿verdad? La razón por la que Binghe le dio esos nombres a estos dos archivos es para disfrazarse mejor. Mientras estos dos archivos se eliminen, Binghe ya no funcionará.
Lo mismo ocurre con otros troyanos (tonterías, el programa del lado del servidor desapareció, ¿qué más podemos hacer?)
Huang Xin: "Ejem, no es tan simple..." (risas con picardía)
Sí, si simplemente elimina sysexlpr.exe sin realizar ningún trabajo final, puede encontrar algunos problemas: su archivo de texto no se puede abrir porque, como se mencionó anteriormente, sysexplr.exe está asociado con un archivo de texto. También debe asociar el archivo de texto con el bloc de notas. Hay tres métodos:
cambiar el registro (no entraré en eso. Si tiene la posibilidad de cambiarlo usted mismo, no pregunte). Dime, de lo contrario es mejor no moverte)
b. Editar en
Mantenga presionada la tecla MAYÚS mientras presiona el botón. , haga clic derecho en cualquier archivo TXT, seleccione Abrir con, seleccione "abrir siempre con este programa...", luego busque el bloc de notas, haga clic en él y estará bien. (Este es el más simple y recomendado)
Huang Xin: "Yo... ya no puedo reírme más: ( "
Solo un recordatorio, para cosas astutas como los troyanos, Debes tener cuidado, Glacier está asociado con archivos txt. Si el troyano no se puede abrir, lo eliminas precipitadamente... ¡incluso regedit no se puede ejecutar! p>
5. Software antivirus
La razón por la que el software antivirus se coloca al final es porque en realidad no es de mucha utilidad, incluido algún software que dice estar diseñado para matar Lo mismo ocurre con los troyanos, pero sigue siendo algo útil para los troyanos obsoletos y los troyanos instalados por principiantes (sin configuración del servidor). Vale la pena mencionar que se puede decir que IP Armor es relativamente líder en este aspecto. monitoreo La tecnología de biblioteca de enlaces dinámicos puede monitorear todos los programas que llaman a Winsock y puede eliminar procesos dinámicamente. Es una buena herramienta para la defensa personal (aunque dudo de la afirmación legendaria de que "este software puede detectar y eliminar troyanos en los próximos diez años". , No puedo decir qué pasará dentro de dos años. ¿Quién sabe hasta qué punto habrán “evolucionado” los troyanos en diez años? Ni siquiera puedo imaginar cómo será el sistema operativo dentro de diez años.)
Además, para los troyanos de controladores/biblioteca de vínculos dinámicos, hay una manera de intentarlo: use el "Comprobador de archivos del sistema" de Windows, a través del "Menú Inicio" - "Programas" - "Accesorios" - "Herramientas del sistema" - " Información del sistema "" - "Herramientas" puede ejecutar el "Comprobador de archivos del sistema" (tan detallado, ¿no puede encontrarlo? ¡Qué, no puede encontrarlo! ¡Vomite sangre! Busque un disco de instalación 98 y reinstálelo), use "Comprobador de archivos del sistema" Checker puede detectar la integridad de los archivos del sistema operativo y restaurarlos si están dañados. Checker también puede extraer archivos comprimidos (como controladores) del disco de instalación si sus controladores o la biblioteca de enlaces se han modificado. sin actualizarlos, puede ser un troyano (o estar dañado). Extraer los archivos modificados puede garantizar la seguridad y estabilidad de su sistema (tenga en cuenta que esta operación requiere un operador que esté familiarizado con el sistema. Completa, porque la instalación de algunos programas puede ser automática). actualice los controladores o las bibliotecas de enlaces dinámicos; en este caso, restaurar archivos "corruptos" puede provocar que el sistema falle o que el programa no esté disponible)
5. ¡Astucia! ...)
Siempre que sea un poco negligente, alguien puede instalar un troyano. Conocer algunos trucos comunes para instalar troyanos le ayudará a garantizar su seguridad.
1. Los principales trucos utilizados para "ayudar" a las personas a instalar troyanos en Internet son los siguientes
a. Engatusamiento suave y engaño duro
Hay muchos métodos; y no tienen nada que ver con la tecnología. Algunos se hacen pasar por gambas, otros se hacen pasar por PLMM, algunos tienen una actitud humilde y otros... De todos modos, el propósito es el mismo, que es permitirte ejecutar un troyano. del servidor.
b. Método de ensamblaje y síntesis
Es el llamado 221 (Two To One) que vincula un programa legal a un troyano, y las funciones del programa legal no son afectado, pero cuando ejecuta un programa legítimo, el troyano se carga automáticamente. Al mismo tiempo, debido a que el código del programa ha cambiado después de la vinculación, es difícil para el software antivirus escanearlo según la firma.
c. Método de cambio de nombre
Este método apareció relativamente tarde, pero ahora es muy popular y es fácil engañar a los operadores de Windows no cualificados. El método específico es disfrazar el archivo ejecutable como una imagen o texto: cambie el ícono en el programa al ícono de imagen predeterminado de Windows y luego cambie el nombre del archivo a *.jpg.exe, ya que la configuración predeterminada de Win98 es. "No mostrar ya Si no conoce el sufijo del archivo "", el archivo se mostrará como *.jpg. Si no presta atención, un caballo de Troya lo atacará al hacer clic en este icono ( sería incluso mejor si incrustas una imagen en el programa)
d .El método del gancho voluntario
El propietario del caballo de Troya coloca un código malicioso en la página web para atraer a los usuarios hacer clic. El resultado del clic del usuario es evidente: abre la puerta al ladrón; consejo: no hagas clic en los enlaces de la página web a menos que lo entiendas, confíes en él y estés dispuesto a morir por ello. . (Qué lío)
2. Algunas notas (algunos clichés)
a. No descargue software de sitios web aleatorios, sino de sitios más famosos y de buena reputación. Estos sitios suelen tener personal antivirus dedicado;
b. No confíes demasiado en los demás y no ejecutes el software proporcionado por otros casualmente;
(Especialmente si conoces a alguien que conoces, no creas que estás seguro porque conoces a alguien, porque solo gente que conoces te instalará troyanos, jaja, siembra discordia... ....)
c. Verifique con frecuencia los archivos de su sistema, el registro, los puertos, etc., y con frecuencia visite sitios de seguridad para ver los últimos anuncios de troyanos;
cambie la configuración predeterminada de Windows para ocultar los sufijos de los archivos (solo puedo ver los archivos). Sólo con el nombre del sufijo puedes elegirlo con confianza)
e. Si descubre que su disco duro emite un pitido sin motivo aparente o que la luz de datos de su gato parpadea aleatoriamente mientras navega por Internet, tenga cuidado;
(a menudo apago todas las conexiones de repente y luego me quedo mirando Mi gato también puedes intentarlo. Si la luz de transmisión de datos todavía parpadea desesperadamente en este momento, felicidades, te ha golpeado un caballo de Troya, ¡huye!)
6. >
En primer lugar, quiero agradecerle por la publicación de este artículo. El autor de Glacier - Huang Xin, le dije: "Quiero escribir un artículo sobre Glacier", dijo: "Escríbalo". ", y luego estaba el primer borrador de este artículo (Huang Xin: "No, prometiste usar No tengas vergüenza de invitarme a cenar con las regalías"). Más tarde, Huang Xin me dio muchas sugerencias y Me proporcionó mucha información. Gracias Binghe.
El siguiente es Yagami de Xici. Es un reconocido experto en troyanos. Durante mi período de escritura, no solo expresó muchas de sus propias opiniones sobre la detección y eliminación de troyanos, sino que también me encontró varias. El código fuente de un caballo de Troya se utiliza como referencia, pero este tipo está demasiado ocupado, por lo que los amigos que quieran ver "Trojan Horse Come Over" tienen que esperar pacientemente.
El tercer chico que vale la pena mencionar es de Wuhan. Tan pronto como salió mi primer borrador, lo publicó apresuradamente. Me sentí muy avergonzado en ese momento, así que solo pude escribir más rápido e intentar terminarlo. Lo antes posible y solucionar las lagunas lo antes posible. Tengo que reemplazar el borrador original; de lo contrario, probablemente todos tendrían que esperar un año y medio para leer este artículo.
Después de que salió el primer borrador de este artículo, muchos amigos preguntaron: ¿Por qué no usar C en lugar de VB para escribir la descripción del código fuente del caballo de Troya? Jaja, en primer lugar, soy un vago, VB es mucho más fácil que VC y no bloqueará Windows (una vez bloqueé el sistema al escribir programas en VC: P; en segundo lugar, puedo usar la API en este artículo, básicamente lo tengo); Los usé todos, VB es solo una pequeña parte, WINAPI, es muy fácil de trasplantar. En tercer lugar, como enfaticé antes, este artículo es solo una discusión sobre la estructura y los principios del caballo de Troya, no una enseñanza sobre cómo hacerlo; Si escribe un programa de caballo de Troya, debe saber que el Ministerio de Seguridad Pública ha declarado oficialmente que quienes envenenen las computadoras de otras personas estarán sujetos a sanciones penales. En comparación, el código VB es mucho menos dañino (si usa VB para hacer un glaciar, costará alrededor de un billón, sin incluir esos controles y archivos de biblioteca de enlaces dinámicos. Jaja, un programa tan grande puede jugar silenciosamente trucos en las máquinas de otras personas). ?)