商业源码 绿色征途魅族手游高速下载
下载地址:http://wwwxyx09com/293597/
类型:安卓游戏-角色扮演
版本:v26700
大小:57113M
语言:中文
平台:安卓APK
推荐星级(评分):★★★★★
游戏标签: 绿色征途 国战手游 绿色征途魅族版是一款超燃的国战竞技类手游。震撼的沙城征战场面,多元的策略竞技玩法,选择喜欢的职业,一起副本爆装、跨服战敌!自由的游戏社交系统,玩家可以欢乐组队,联姻相爱,在激情的岁月不忘初心!喜欢的朋友,快来本站下载吧!
绿色征途魅族手游简介 由巨人网络原班人马打造,英雄互娱独家代理并运营。游戏中不仅保留了征途系列一脉相承的万人国战、激爽PK、刺探、拉镖等游戏玩法,更在游戏中为非RMB玩家带来极致游戏体验,装备升星不爆、装备自由交易、游戏代练,为你的称王之路保驾护航!
游戏特色 无敌守护,保证战旗归属
跨服战中,玩家在运送战旗时的防御、血量、移速都会大幅下降,护旗手一旦战败,敌方就会抢走战旗,所以护旗手必须拥有高免伤,才能护住战旗。同时,充足的位移也是保证战旗快速插入旗槽的关键。
厉兵秣马,招揽天下豪杰
在跨服战正式开始之前的战团组建,是跨服取胜的重中之重。必须注意的是,跨服战的战团成员不限同国籍,凡是同服强者皆能并肩作战。所以,为了至高的荣耀,合作势在必行,不同国家的强者必须集结起来,将最高战力尽可能聚在一起,为服务器争取荣誉!
寸步不让,极速夺取战旗
夺旗手在团战中的任务与护旗手正好相反,强调的是有效的控制和快速的击杀。而且。在6V6战斗中,如果说护旗手是运输机,那在运输机两侧一定会有至少2架僚机,所以单派1人去夺旗绝不现实,配置2-3人负责夺旗才更稳妥。
游戏亮点 万人同屏,极致国战PK体验
激情国战玩法,将上万人汇聚于同屏,在古代沙场开启声势浩大的战役,为国家荣誉奋战到底!
装备升级不爆星,为非RMB玩家提供良好生态体验
绿色游戏体验,杜绝传统MMO的氪金风气,装备100%强化成功不爆星,让非RMB玩家也能成为游戏霸主,充分体验国战竞技的热血快感!
游戏独创代练系统,抛开上班烦恼
上班族玩法,自动代练系统轻松过任务、刷副本,免去练级烦恼,充分享受碎片时间!
精美游戏画面,打造极致区域音效
极致画面表现力,万人同屏幕,声势浩大!玩家如同置身古代沙场,车轮滚滚、马蹄扬尘!
姻缘特色玩法,即时语音,以声传情
丰富社交功能,来自五湖四海的玩家们在此结缘。其中更是为红男绿女们精心打造姻缘特色玩法,系统支持即时语音,增进感情为玩家在游戏中寻觅到心中的另一半助力!
好友系统攻略 一、 查找好友添加
打开好友列表,点击右上角的添加好友,输入你的好友角色名称,点击搜索后便会显示添加好友啦~
二、 系统推荐好友
点开好友系统,点击右上角的添加好友,在界面的下方,系统会随机给你推荐好友的哦,普天之下皆兄弟,如果不满意,点击换一批即可哦。
三、 面对面加好友
在游戏中当你在江湖闯荡,偶遇知音,点击他的人物后,在点击上方的头像即可选择添加好友了哦
四、 聊天框添加好友
当你在和朋友聊天遇见后,想要添加其为好友该如何呢,直接点击头像即可添加啦~是不是很简单呢~
好啦~如何添加好友已经全部介绍完毕了,那么现在就来找你的好友进行聊天吹牛吧~
更新日志 v22700更新内容
1、六级月卡开放
2、优化掉落拾取
3、修复实力对比显示问题
4、修复国运弹窗提示错误
总结而言,墨鱼下载是您寻找安卓游戏和角色扮演下载的理想之选。我们为您精选了一系列安卓游戏和角色扮演的相关内容,无论您是安卓游戏角色扮演的初学者还是专业人士,都能满足您的需求。在我们的下载站,您可以轻松找到最新的绿色征途魅族手游高速下载,享受安卓游戏角色扮演带来的无尽乐趣!我们提供详细的绿色征途魅族手游高速下载信息,包括功能介绍、用户评价以及官方下载链接http://wwwxyx09com/293597/ ,让您的下载过程更加轻松快捷!此外,我们还提供一系列与安卓游戏角色扮演相关的教程和资讯,帮助您更好地了解和使用这些产品。我们的团队时刻关注安卓游戏角色扮演的最新动态,为您提供最新的信息和下载链接。在墨鱼下载,我们致力于为您提供最好的安卓游戏角色扮演下载体验。我们相信,在我们的努力下,您一定能找到最适合您的安卓游戏角色扮演解决方案。快来体验我们的服务吧!http://wwwxyx09com/
下载地址:http://www37moyucom/azyx/jsby/lvsezhengtuzuozushouyouv26700html
类型:安卓游戏-角色扮演
版本:绿色征途魅族手游v26700
大小:57113M
语言:中文
平台:安卓APK
推荐星级(评分):★★★★★
游戏标签: 绿色征途 国战手游 绿色征途魅族版是一款超燃的国战竞技类手游。震撼的沙城征战场面,多元的策略竞技玩法,选择喜欢的职业,一起副本爆装、跨服战敌!自由的游戏社交系统,玩家可以欢乐组队,联姻相爱,在激情的岁月不忘初心!喜欢的朋友,快来本站下载吧!
绿色征途魅族手游简介 由巨人网络原班人马打造,英雄互娱独家代理并运营。游戏中不仅保留了征途系列一脉相承的万人国战、激爽PK、刺探、拉镖等游戏玩法,更在游戏中为非RMB玩家带来极致游戏体验,装备升星不爆、装备自由交易、游戏代练,为你的称王之路保驾护航!
游戏特色 无敌守护,保证战旗归属
跨服战中,玩家在运送战旗时的防御、血量、移速都会大幅下降,护旗手一旦战败,敌方就会抢走战旗,所以护旗手必须拥有高免伤,才能护住战旗。同时,充足的位移也是保证战旗快速插入旗槽的关键。
厉兵秣马,招揽天下豪杰
在跨服战正式开始之前的战团组建,是跨服取胜的重中之重。必须注意的是,跨服战的战团成员不限同国籍,凡是同服强者皆能并肩作战。所以,为了至高的荣耀,合作势在必行,不同国家的强者必须集结起来,将最高战力尽可能聚在一起,为服务器争取荣誉!
寸步不让,极速夺取战旗
夺旗手在团战中的任务与护旗手正好相反,强调的是有效的控制和快速的击杀。而且。在6V6战斗中,如果说护旗手是运输机,那在运输机两侧一定会有至少2架僚机,所以单派1人去夺旗绝不现实,配置2-3人负责夺旗才更稳妥。
游戏亮点 万人同屏,极致国战PK体验
激情国战玩法,将上万人汇聚于同屏,在古代沙场开启声势浩大的战役,为国家荣誉奋战到底!
装备升级不爆星,为非RMB玩家提供良好生态体验
绿色游戏体验,杜绝传统MMO的氪金风气,装备100%强化成功不爆星,让非RMB玩家也能成为游戏霸主,充分体验国战竞技的热血快感!
游戏独创代练系统,抛开上班烦恼
上班族玩法,自动代练系统轻松过任务、刷副本,免去练级烦恼,充分享受碎片时间!
精美游戏画面,打造极致区域音效
极致画面表现力,万人同屏幕,声势浩大!玩家如同置身古代沙场,车轮滚滚、马蹄扬尘!
姻缘特色玩法,即时语音,以声传情
丰富社交功能,来自五湖四海的玩家们在此结缘。其中更是为红男绿女们精心打造姻缘特色玩法,系统支持即时语音,增进感情为玩家在游戏中寻觅到心中的另一半助力!
好友系统攻略 一、 查找好友添加
打开好友列表,点击右上角的添加好友,输入你的好友角色名称,点击搜索后便会显示添加好友啦~
二、 系统推荐好友
点开好友系统,点击右上角的添加好友,在界面的下方,系统会随机给你推荐好友的哦,普天之下皆兄弟,如果不满意,点击换一批即可哦。
三、 面对面加好友
在游戏中当你在江湖闯荡,偶遇知音,点击他的人物后,在点击上方的头像即可选择添加好友了哦
四、 聊天框添加好友
当你在和朋友聊天遇见后,想要添加其为好友该如何呢,直接点击头像即可添加啦~是不是很简单呢~
好啦~如何添加好友已经全部介绍完毕了,那么现在就来找你的好友进行聊天吹牛吧~
更新日志 v22700更新内容
1、六级月卡开放
2、优化掉落拾取
3、修复实力对比显示问题
4、修复国运弹窗提示错误
综上所述,墨鱼下载站是您寻找安卓游戏和角色扮演解决方案的理想之选。无论是安卓游戏角色扮演爱好者还是专业人士,我们推荐安卓游戏角色扮演的相关内容都能满足您的需求。立即下载或体验绿色征途魅族手游,享受安卓游戏角色扮演带来的无尽乐趣!此外,我们还提供绿色征途魅族手游的详细信息,包括功能介绍、用户评价以及官方下载链接http://www37moyucom/azyx/jsby/lvsezhengtuzuozushouyouv26700html 。让您的下载过程更加轻松快捷!
你好,不可以跨链转。不是一个链的,直接转很可能丢了。
你尝试在马蹄链上导入币安链的钱包,看看能不能转。
数字钱包是去中心化的,没有一个中心化的平台停止交易。都是在区块链上进行,如果不是相同的链,很可能是找不回来的。
数字钱包是一种能使用户在Web网上支付货款的软件。它保存信用卡号码和其它个人信息,如送货地址。数据一旦被输入,就自动转移到商家网站的订货域。使用数字钱包时,当消费者购买物品时,不需要填写每个站点上的订单,因为信息已经存储了,并自动更新和进入到厂商站点的订货域。消费者使用数字钱包时也能得到好处,因为他们的信息被加密了,即由私人软件代码加以保护。商家也避免了受骗而得到保护,也从中获益。
对消费者来说,数字钱包是免费的,可以相当容易得到。例如,当消费者在建立了处理服务器端数字钱包的商家网站上购买东西时,他把其名字、付款额和送货信息输入到商家自己的表格中。在购买结束时,他被要求为他选择的钱包签上用户名和今后购买时的口令。用户也能从钱包供应商的站点上得到钱包。
下载地址:http://wwwxyx09com/293597/
类型:安卓游戏-角色扮演
版本:v26700
大小:57113M
语言:中文
平台:安卓APK
推荐星级(评分):★★★★★
游戏标签: 绿色征途 国战手游 绿色征途魅族版是一款超燃的国战竞技类手游。震撼的沙城征战场面,多元的策略竞技玩法,选择喜欢的职业,一起副本爆装、跨服战敌!自由的游戏社交系统,玩家可以欢乐组队,联姻相爱,在激情的岁月不忘初心!喜欢的朋友,快来本站下载吧!
绿色征途魅族手游简介 由巨人网络原班人马打造,英雄互娱独家代理并运营。游戏中不仅保留了征途系列一脉相承的万人国战、激爽PK、刺探、拉镖等游戏玩法,更在游戏中为非RMB玩家带来极致游戏体验,装备升星不爆、装备自由交易、游戏代练,为你的称王之路保驾护航!
游戏特色 无敌守护,保证战旗归属
跨服战中,玩家在运送战旗时的防御、血量、移速都会大幅下降,护旗手一旦战败,敌方就会抢走战旗,所以护旗手必须拥有高免伤,才能护住战旗。同时,充足的位移也是保证战旗快速插入旗槽的关键。
厉兵秣马,招揽天下豪杰
在跨服战正式开始之前的战团组建,是跨服取胜的重中之重。必须注意的是,跨服战的战团成员不限同国籍,凡是同服强者皆能并肩作战。所以,为了至高的荣耀,合作势在必行,不同国家的强者必须集结起来,将最高战力尽可能聚在一起,为服务器争取荣誉!
寸步不让,极速夺取战旗
夺旗手在团战中的任务与护旗手正好相反,强调的是有效的控制和快速的击杀。而且。在6V6战斗中,如果说护旗手是运输机,那在运输机两侧一定会有至少2架僚机,所以单派1人去夺旗绝不现实,配置2-3人负责夺旗才更稳妥。
游戏亮点 万人同屏,极致国战PK体验
激情国战玩法,将上万人汇聚于同屏,在古代沙场开启声势浩大的战役,为国家荣誉奋战到底!
装备升级不爆星,为非RMB玩家提供良好生态体验
绿色游戏体验,杜绝传统MMO的氪金风气,装备100%强化成功不爆星,让非RMB玩家也能成为游戏霸主,充分体验国战竞技的热血快感!
游戏独创代练系统,抛开上班烦恼
上班族玩法,自动代练系统轻松过任务、刷副本,免去练级烦恼,充分享受碎片时间!
精美游戏画面,打造极致区域音效
极致画面表现力,万人同屏幕,声势浩大!玩家如同置身古代沙场,车轮滚滚、马蹄扬尘!
姻缘特色玩法,即时语音,以声传情
丰富社交功能,来自五湖四海的玩家们在此结缘。其中更是为红男绿女们精心打造姻缘特色玩法,系统支持即时语音,增进感情为玩家在游戏中寻觅到心中的另一半助力!
好友系统攻略 一、 查找好友添加
打开好友列表,点击右上角的添加好友,输入你的好友角色名称,点击搜索后便会显示添加好友啦~
二、 系统推荐好友
点开好友系统,点击右上角的添加好友,在界面的下方,系统会随机给你推荐好友的哦,普天之下皆兄弟,如果不满意,点击换一批即可哦。
三、 面对面加好友
在游戏中当你在江湖闯荡,偶遇知音,点击他的人物后,在点击上方的头像即可选择添加好友了哦
四、 聊天框添加好友
当你在和朋友聊天遇见后,想要添加其为好友该如何呢,直接点击头像即可添加啦~是不是很简单呢~
好啦~如何添加好友已经全部介绍完毕了,那么现在就来找你的好友进行聊天吹牛吧~
更新日志 v22700更新内容
1、六级月卡开放
2、优化掉落拾取
3、修复实力对比显示问题
4、修复国运弹窗提示错误
总结而言,墨鱼下载是您寻找安卓游戏和角色扮演下载的理想之选。我们为您精选了一系列安卓游戏和角色扮演的相关内容,无论您是安卓游戏角色扮演的初学者还是专业人士,都能满足您的需求。在我们的下载站,您可以轻松找到最新的绿色征途魅族手游高速下载,享受安卓游戏角色扮演带来的无尽乐趣!我们提供详细的绿色征途魅族手游高速下载信息,包括功能介绍、用户评价以及官方下载链接http://wwwxyx09com/293597/ ,让您的下载过程更加轻松快捷!此外,我们还提供一系列与安卓游戏角色扮演相关的教程和资讯,帮助您更好地了解和使用这些产品。我们的团队时刻关注安卓游戏角色扮演的最新动态,为您提供最新的信息和下载链接。在墨鱼下载,我们致力于为您提供最好的安卓游戏角色扮演下载体验。我们相信,在我们的努力下,您一定能找到最适合您的安卓游戏角色扮演解决方案。快来体验我们的服务吧!http://wwwxyx09com/
该软件主要用于远程监控,具体功能包括:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-serverexe,客户端程序为G-clientexe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32exe和sysexplrexe,并删除自身。Kernel32exe在系统启动时自动加载运行,sysexplrexe和TXT文件关联。即使你删除了Kernel32exe,但只要你打开TXT文件,sysexplrexe就会被激活,它将再次生成Kernel32exe,于是冰河又回来了!这就是冰河屡删不止的原因。
清除方法:
1、删除C:Windowssystem下的Kernel32exe和Sysexplrexe文件。
2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run下扎根,键值为C:/windows/system/Kernel32exe,删除它。
3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32exe的,也要删除。
4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:/windows/system/Sysexplrexe %1改为正常情况下的C:/windows/notepadexe %1,即可恢复TXT文件关联功能。
如何识别木马
先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多木马,EML和EXE木马,其中的木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,
简单防治的方法:
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。
冰河木马原理
木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。
一、基础篇(揭开木马的神秘面纱)
无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。
1基本概念:
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_serverexe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
2程序实现:
在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):
服务端:
G_ServerLocalPort=7626(冰河的默认端口,可以改为别的值)
G_ServerListen(等待连接)
客户端:
G_ClientRemoteHost=ServerIP(设远端地址为服务器地址)
G_ClientRemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗这是冰河的生日哦)
(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)
G_ClientConnect (调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_ServerAccept requestID
End Sub
客户机端用G_ClientSendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_ServerClose (关闭连接)
G_ServerListen (再次监听)
End Sub
其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令
二、控制篇(木马控制了这个世界!)
由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)
因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。
1远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。
mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)
dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。
MOUSEEVENTF_MOVE 移动鼠标
MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下
MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起
MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下
MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下
MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下
MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下
dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标
2记录各种口令信息
(作者注:出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)
3获取系统信息
a取得计算机名 GetComputerName
b更改计算机名 SetComputerName
c当前用户 GetUserName函数
d系统路径
Set FileSystem0bject = CreateObject("ScriptingFileSystemObject") (建立文件系统对象)
Set SystemDir = FileSystem0bjectgetspecialfolder(1)
(取系统目录)
Set SystemDir = FileSystem0bjectgetspecialfolder(0)
(取Windows安装目录)
(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)
e取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx
f当前显示分辨率
Width = screenWidth \ screenTwipsPerPixelX
Height= screenHeight \ screenTwipsPerPixelY
其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的"垃圾站"-注册表
比如计算机名和计算机标识吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup
注册公司和用户名:HKEY_USERS\DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。
4限制系统功能
a远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(ByVal uFlags,0)
当uFlags=0 EWX_LOGOFF 中止进程,然后注销
当uFlags=1 EWX_SHUTDOWN 关掉系统电源
当uFlags=2 EWX_REBOOT 重新引导系统
当uFlags=4 EWX_FORCE 强迫中止没有响应的进程
b锁定鼠标
ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以
注:RECT是一个矩形,定义如下:
Type RECT
Left As Long
Top As Long
Right As Long
Bottom As Long
End Type
c锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的
d让对方掉线 RasHangUp
e终止进程 ExitProcess
f关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口
5远程文件操作
无论在哪种编程语言里,文件操作功能都是比较简单的,在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现
6注册表操作
在VB中只要Set RegEdit=CreateObject("WScriptShell")
就可以使用以下的注册表功能:
删除键值:RegEditRegDelete RegKey
增加键值:RegEditWrite RegKey,RegValue
获取键值:RegEditRegRead (Value)
记住,注册表的键值要写全路径,否则会出错的。
7发送信息
很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。
8点对点通讯
呵呵,这个嘛随便去看看什么聊天软件就行了(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东,困惑)
9换墙纸
CallSystemParametersInfo(20,0,"BMP路径名称",&H1)
值得注意的是,如果使用了ActiveDesktop,换墙纸有可能会失败,遇到这种问题,请不要找冰河和我,去找Bill吧。
三、潜行篇(Windows,一个捉迷藏的大森林)
木马并不是合法的网络服务程序,因此,它必须想尽一切办法隐藏自己,好在,Windows是一个捉迷藏的大森林!
1、在任务栏中隐藏自己:
这是最基本的了,如果连这个都做不到(想象一下,如果Windows的任务栏里出现一个国际象棋中木马的图标@#!#@也太嚣张了吧!)
在VB中,只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。
2、在任务管理器中隐形:
在任务管理器中隐形,就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程,这个有点难度,不过还是难不倒我们,将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿)。
在VB中如下的代码可以实现这一功能:
Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long
Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long
(以上为声明)
Private Sub Form_Load()
RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)
End Sub
Private Sub Form_Unload()
RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)
End Sub
3、如何悄没声息地启动:
你当然不会指望用户每次启动后点击木马图标来运行服务端,木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端(第一重要的是如何让对方中木马,嘿嘿,这部分的内容将在后面提到)
Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、winini、systemini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了\kernl32exe(是系统目录),其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了怎么回事原来冰河的服务端会在c:\windows(这个会随你windows的安装目录变化而变化)下生成一个叫sysexplrexe文件(太象超级解霸了,好毒呀,冰河!),这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本),sysexplrexe文件就会重新生成krnel32exe, 然后你还是被冰河控制著。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的,555555)
4、端口
木马都会很注意自己的端口(你呢你关心你的6万多个端口吗),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露;而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)
5最新的隐身技术
目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态链接库技术(冰河30会采用这种方法吗)。
驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作
事实上,我已经看到过几个这样类型的木马,其中就有通过改写vxd文件建立隐藏共享的木马(江湖上又将掀起新的波浪)
四、破解篇(魔高一尺、道高一丈)
本文主要是探讨木马的基本原理,木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载方法做一个小小的总结:
1端口扫描
端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。(关于端口扫描,Oliver有一篇关于“半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨论的范围之中)
但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。
2查看连接
查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat-a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。
3检查注册表
上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。
4查找文件
查找木马特定的文件也是一个常用的方法(这个我知道,冰河的特征文件是G_Serverexe吧 笨蛋!哪会这么简单,冰河是狡猾狡猾的)冰河的一个特征文件是kernl32exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlprexe(什么什么,不是超级解霸吗)对!冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样(废话,Server端程序都没了,还能干嘛?)
如果你只是删除了sysexlprexe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplrexe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种:
a更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)
b在<我的电脑>-查看-文件夹选项-文件类型中编辑
c按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中<始终用该程序打开>,然后找到notepad,点一下就OK了。(这个最简单,推荐使用)
提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和txt文件关联的,txt打不开没什么大不了,如果木马是和exe文件关联而你贸然地删了它你苦了!连regedit都不能运行了!
5杀病毒软件
之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系统是什么样的我都想象不出来)
另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用!)
五、狡诈篇(只要你的一点点疏忽)
只要你有一点点的疏忽,就有可能被人安装了木马,知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。
1 木马种植伎俩
网上“帮”人种植木马的伎俩主要有以下的几条
a软哄硬骗法
这个方法很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭,有的反正目的都一样,就是让你去运行一个木马的服务端。
b组装合成法
就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。
c改名换姓法
这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成或文本----在程序中把图标改成Windows的默认图标, 再把文件名改为jpg exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张就更完美了)
d愿者上钩法
木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗;奉劝:不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意
2. 几点注意(一些陈词滥调)
a.不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点,这些站点一般都有专人杀马杀毒;
b.不要过于相信别人,不能随便运行别人给的软件;
(特别是认识的,不要以为认识了就安全了,就是认识的人才会给你装木马,哈哈,挑拨离间)
c.经常检查自己的系统文件、注册表、端口什么的,经常去安全站点查看最新的木马公告;
d改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的)
e.如果上网时发现莫名奇妙地硬盘乱响或猫上的数据灯乱闪,要小心;
该软件主要用于远程监控,具体功能包括:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时,监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;
5.远程文件操作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件(提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式)等多项文件操作功能;
6.注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-serverexe,客户端程序为G-clientexe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32exe和sysexplrexe,并删除自身。Kernel32exe在系统启动时自动加载运行,sysexplrexe和TXT文件关联。即使你删除了Kernel32exe,但只要你打开TXT文件,sysexplrexe就会被激活,它将再次生成Kernel32exe,于是冰河又回来了!这就是冰河屡删不止的原因。
清除方法:
1、删除C:Windowssystem下的Kernel32exe和Sysexplrexe文件。
2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion
Run下扎根,键值为C:/windows/system/Kernel32exe,删除它。
3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32exe的,也要删除。
4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:/windows/system/Sysexplrexe %1改为正常情况下的C:/windows/notepadexe %1,即可恢复TXT文件关联功能。
如何识别木马
先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多木马,EML和EXE木马,其中的木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,
简单防治的方法:
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。
冰河木马原理
木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。
一、基础篇(揭开木马的神秘面纱)
无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。
1基本概念:
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_serverexe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
2程序实现:
在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件):
服务端:
G_ServerLocalPort=7626(冰河的默认端口,可以改为别的值)
G_ServerListen(等待连接)
客户端:
G_ClientRemoteHost=ServerIP(设远端地址为服务器地址)
G_ClientRemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗这是冰河的生日哦)
(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)
G_ClientConnect (调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_ServerAccept requestID
End Sub
客户机端用G_ClientSendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_ServerClose (关闭连接)
G_ServerListen (再次监听)
End Sub
其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令
二、控制篇(木马控制了这个世界!)
由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)
因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。
1远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。
mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)
dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。
MOUSEEVENTF_MOVE 移动鼠标
MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下
MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起
MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下
MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下
MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下
MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下
dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标
2记录各种口令信息
(作者注:出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)
3获取系统信息
a取得计算机名 GetComputerName
b更改计算机名 SetComputerName
c当前用户 GetUserName函数
d系统路径
Set FileSystem0bject = CreateObject("ScriptingFileSystemObject") (建立文件系统对象)
Set SystemDir = FileSystem0bjectgetspecialfolder(1)
(取系统目录)
Set SystemDir = FileSystem0bjectgetspecialfolder(0)
(取Windows安装目录)
(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)
e取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx
f当前显示分辨率
Width = screenWidth \ screenTwipsPerPixelX
Height= screenHeight \ screenTwipsPerPixelY
其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的"垃圾站"-注册表
比如计算机名和计算机标识吧:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP中的Comment,ComputerName和WorkGroup
注册公司和用户名:HKEY_USERS\DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo至于如何取得注册表键值请看第6部分。
4限制系统功能
a远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(ByVal uFlags,0)
当uFlags=0 EWX_LOGOFF 中止进程,然后注销
当uFlags=1 EWX_SHUTDOWN 关掉系统电源
当uFlags=2 EWX_REBOOT 重新引导系统
当uFlags=4 EWX_FORCE 强迫中止没有响应的进程
b锁定鼠标
ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以
注:RECT是一个矩形,定义如下:
Type RECT
Left As Long
Top As Long
Right As Long
Bottom As Long
End Type
c锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的
d让对方掉线 RasHangUp
e终止进程 ExitProcess
f关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口
5远程文件操作
无论在哪种编程语言里,文件操作功能都是比较简单的,在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现
6注册表操作
在VB中只要Set RegEdit=CreateObject("WScriptShell")
就可以使用以下的注册表功能:
删除键值:RegEditRegDelete RegKey
增加键值:RegEditWrite RegKey,RegValue
获取键值:RegEditRegRead (Value)
记住,注册表的键值要写全路径,否则会出错的。
7发送信息
很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。
8点对点通讯
呵呵,这个嘛随便去看看什么聊天软件就行了(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东,困惑)
9换墙纸
CallSystemParametersInfo(20,0,"BMP路径名称",&H1)
值得注意的是,如果使用了ActiveDesktop,换墙纸有可能会失败,遇到这种问题,请不要找冰河和我,去找Bill吧。
三、潜行篇(Windows,一个捉迷藏的大森林)
木马并不是合法的网络服务程序,因此,它必须想尽一切办法隐藏自己,好在,Windows是一个捉迷藏的大森林!
1、在任务栏中隐藏自己:
这是最基本的了,如果连这个都做不到(想象一下,如果Windows的任务栏里出现一个国际象棋中木马的图标@#!#@也太嚣张了吧!)
在VB中,只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。
2、在任务管理器中隐形:
在任务管理器中隐形,就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程,这个有点难度,不过还是难不倒我们,将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿)。
在VB中如下的代码可以实现这一功能:
Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long
Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long
(以上为声明)
Private Sub Form_Load()
RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)
End Sub
Private Sub Form_Unload()
RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)
End Sub
3、如何悄没声息地启动:
你当然不会指望用户每次启动后点击木马图标来运行服务端,木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端(第一重要的是如何让对方中木马,嘿嘿,这部分的内容将在后面提到)
Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、winini、systemini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了\kernl32exe(是系统目录),其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了怎么回事原来冰河的服务端会在c:\windows(这个会随你windows的安装目录变化而变化)下生成一个叫sysexplrexe文件(太象超级解霸了,好毒呀,冰河!),这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本),sysexplrexe文件就会重新生成krnel32exe, 然后你还是被冰河控制著。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的,555555)
4、端口
木马都会很注意自己的端口(你呢你关心你的6万多个端口吗),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露;而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)
5最新的隐身技术
目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态链接库技术(冰河30会采用这种方法吗)。
驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的方法(改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的方法查杀)、不需要打开新的端口(所以不能用端口监视的方法查杀)、没有新的进程(所以使用进程查看的方法发现不了它,也不能用kill进程的方法终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作
事实上,我已经看到过几个这样类型的木马,其中就有通过改写vxd文件建立隐藏共享的木马(江湖上又将掀起新的波浪)
四、破解篇(魔高一尺、道高一丈)
本文主要是探讨木马的基本原理,木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载方法做一个小小的总结:
1端口扫描
端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。(关于端口扫描,Oliver有一篇关于“半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨论的范围之中)
但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。
2查看连接
查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat-a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。
3检查注册表
上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。
4查找文件
查找木马特定的文件也是一个常用的方法(这个我知道,冰河的特征文件是G_Serverexe吧 笨蛋!哪会这么简单,冰河是狡猾狡猾的)冰河的一个特征文件是kernl32exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlprexe(什么什么,不是超级解霸吗)对!冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样(废话,Server端程序都没了,还能干嘛?)
如果你只是删除了sysexlprexe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplrexe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种:
a更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)
b在<我的电脑>-查看-文件夹选项-文件类型中编辑
c按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中<始终用该程序打开>,然后找到notepad,点一下就OK了。(这个最简单,推荐使用)
提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和txt文件关联的,txt打不开没什么大不了,如果木马是和exe文件关联而你贸然地删了它你苦了!连regedit都不能运行了!
5杀病毒软件
之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系统是什么样的我都想象不出来)
另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用!)
五、狡诈篇(只要你的一点点疏忽)
只要你有一点点的疏忽,就有可能被人安装了木马,知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。
1 木马种植伎俩
网上“帮”人种植木马的伎俩主要有以下的几条
a软哄硬骗法
这个方法很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭,有的反正目的都一样,就是让你去运行一个木马的服务端。
b组装合成法
就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。
c改名换姓法
这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成或文本----在程序中把图标改成Windows的默认图标, 再把文件名改为jpg exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张就更完美了)
d愿者上钩法
木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗;奉劝:不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意
2. 几点注意(一些陈词滥调)
a.不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点,这些站点一般都有专人杀马杀毒;
b.不要过于相信别人,不能随便运行别人给的软件;
(特别是认识的,不要以为认识了就安全了,就是认识的人才会给你装木马,哈哈,挑拨离间)
c.经常检查自己的系统文件、注册表、端口什么的,经常去安全站点查看最新的木马公告;
d改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的)
e.如果上网时发现莫名奇妙地硬盘乱响或猫上的数据灯乱闪,要小心;
参考资料:
8月26日征途全区版本更新公告
亲爱的玩家,目前全区版本已更新。具体更新内容如下:
为丰富游戏内容,降低新手玩家游戏难度,本次更新,我们新增新手引导系列任务“宝马良驹”及“神兵利器”系列任务,同时增加玩家完成“刺探”任务所获的经验,并对“刺探”增加了新玩法,让玩家通过努力完成有趣任务的方式来获得丰厚的经验、马匹和道具奖励。此外,还大幅提升装备合成升级的概率以及降低可祝福装备要求的等级,优化了部分地图怪物设置。更新详情如下:
一、刺探任务优化,新刺探任务更有趣,经验奖励更丰厚
为了让刺探任务更有趣,我们对在原刺探任务的基础上进行了优化,在新增刺探任务玩法的同时,同时大幅增加了原刺探任务所获得的经验。具体优化如下:
1、 刺探任务NPC“兵马大元帅”现在边境(209,137)处。
2、 在任务中拿到“绝密情报”完成刺探任务可获得的经验由5倍提升为原来的10倍。
3、 玩家在完成第1-3次刺探任务时获得的任务经验不变。
4、 玩家在完成第4-6次刺探任务时将获得1-5倍的经验(转盘转出倍数)
5、 玩家在完成第7-9次刺探任务时将获得5-10倍的经验(转盘转出倍数)
6、 国王或宰相每天12:00-24:00期间可对任意国家发动3次“国探”,每个目标国家只能被刺探1次。
7、 国王或宰相可在边境NPC“刺探召集官”召集国民到本国边境,未转50级或者转生50级以上的玩家将会收到拉人提示。
8、 国探期间,如目标国东郊NPC“刺探防守大将”(70,284)被击败,10分钟内,攻击国所属国国民在目标国东郊、王城、白骨洞一层、下水道中阵亡将在目标国东郊(106,179)复活。“刺探防守大将”刷新时间为2分钟。
二、新增“宝马良驹”新手引导系列任务,完成任务可获各个等级坐骑
为让玩家通过更有趣的方式获得马匹,现在通过完成任务就能获得各等级马匹。等级在20级(转生后20级)以上的玩家可在凤凰城NPC牧马人(419,473)处接到马匹任务,完成后可获得各个等级段的马匹及丰厚经验奖励。
“宝马良驹”系列任务详情如下:
任务等级 任务NPC 完成NPC 任务名称 击杀怪物(所在地图) 任务奖励
20 牧马人 饲养员 护送枣红马 凤凰城 经验
30 牧马人 牧马人 第一匹坐骑 凤凰城 枣红马坐骑
40 牧马人 牧马人 骑兵任务 山贼(龙冈山一寨) 经验
50 战马饲养员 战马饲养员 战马任务 山大王(龙冈山四寨) 战马
60 牧马人 牧马人 马匹装备-马鞍 异军弓兵(南郊) 白银马鞍
70 牧马人 牧马人 马匹装备-马甲 异军步兵(南郊) 白银马甲
80 牧马人 花蕊夫人 马匹装备-马缰绳 凤凰城 白银马缰绳
85 牧马人 牧马人 马匹装备-马蹄铁 异军蛊师(南郊) 白银马蹄铁
90 牧马人 工匠 马匹装备-马镫 凤凰城 白银马镫
100 牧马人 牧马人 的卢马 侏儒力士(蛟龙洞一层) 的卢马
110 牧马人 牧马人 汗血宝马 暗战侏儒(蛟龙洞一层) 经验
120 牧马人 牧马人 赤兔马 狂战侏儒(蛟龙洞一层) 赤兔马
125 牧马人 牧马人 驯兽任务 老虎(百兽谷) 经验
130 牧马人 牧马人 骑兽任务 凤凰城 5种坐骑
140 牧马人 牧马人 降龙任务 神龙(蛟龙洞) 经验
150 牧马人 牧马人 骑龙任务 凤凰城 龙麟圣兽
160 牧马人 牧马人 神龙神驹 凤凰城 经验
三、新增“神兵利器”系列任务,完成可获得大量丰厚经验奖励及宝物
为提高新手玩家的游戏乐趣,目前等级达到10级以上的玩家可在凤凰城NPC欧冶子(342,304)处完成系列任务,将获得紫水晶钥匙(不含马匹装备补天)、各种材料、天魔石、定魂石、升级宝石、时装布料等各种宝物。同时,为帮助新手玩家而进行的“赠送每位新手玩家三套装备的活动”结束,感谢广大玩家对《征途》的一贯支持。
“神兵利器”系列任务详情如下:
任务等级 任务名称 道具奖励
10 初遇名师 20级金色衣服
20 辨色识品质 21级金色鞋子
30 星级装备 升级宝石若干(40级以下升级用)
40 采集和打造 一定数量的三等铁
50 魂魄石 一定数量的天魔石和定魂石
60 灵魂绑定 一定数量的三等棉布和灵魂宝石
70 装备改造 一定数量的三等檀木
80 装备升级 一定数量的三等银
90 灵魂激活 一定数量的三等水晶
100 重新绑定 一定数量的三等乌木
110 绚丽时装 一定数量的时装布料
120 天之圣尊 一定数量的四等硬皮
130 神之圣尊 一定数量的四等丝绸
140 15星装备 一定数量的四等银
150 一石在握只手遮天 一定数量的四等水晶
160 轮回 一把紫水晶钥匙(不含马匹装备补天)
四、165级完美、绑定、本人签名的15星转生装备也可被祝福。
五、角色身上装备全套祝福装备时,角色有特殊“莲花”特效。
六、大幅提升了装备合成升级时的成功概率,用月光宝盒合成升级装备更容易。
七、为解决玩家反映的游戏时较卡、游戏不流畅的问题,经数据优化分析,主要问题是清源村、凤凰城、百兽谷、白骨洞等地图无用怪太多,导致服务器缓慢,为此我们对开区两个月以后的所有服务区的这几个地区怪物数量做适当精简,降低怪物密度,以保证玩家可以流畅的进行游戏。
八、解决了任务积累员处使用转盘时不停的BUG。
0条评论