网络神偷（NetThief）木马病毒学习记录

前言

网络神偷（NetThief）是一款典型的远程控制型木马，可以对被控主机进行远程进程管理、拍摄屏幕、远程关机和执行远程命令等操作，以下是该木马病毒的制作和感染过程，仅作为大家学习原理的参考。当前，操作系统的安全机制越来越完善，木马病毒越来越难以发作，所以也不用太担心木马的入侵问题。整个实验进程的实验环境是两台 windows server 2003 虚拟机。

学习过程

1. 将两台虚拟机的网络连接模式改为桥接，修改IP地址使其处于同一局域网，并相互连通。

   
   测试连通性

2. 在其中一台虚拟机上运行网络神偷服务器程序向导。

   
   选择支持方式

使用 临时支持方式 的温馨提示 主控端 端口设置

3. 生成被控端软件。选择被控端软件的版本为“普通版”，同时勾选“我希望被控端软件运行后，安装入系统，并在系统启动运行”，然后点击“开始生成”。

选择被控端软件的版本：普通版 生成被控端软件

4. 运行捆绑器程序，在“1-选择要绑定的第一个文件”浏览选择刚才生成的被控端软件，接着在“2-选择要绑定的第二个文件”浏览选择桌面的一张图片文件（Koala.jpg），然后在“3-选择要捆绑后生成的目标文件”浏览选择捆绑程序要保存的文件名和位置，最后点击“开始捆绑”。

   
   通过捆绑器捆绑被控端软件伪装木马程序

5. 将捆绑后的程序复制到另一台主机，双击打开运行。

   
   运行木马程序

6. 回到网络神偷服务器端，查看刚刚上线的主机，并进行一系列限制系统功能的操作（以关闭远程进程为例）。

双击上线的主机进入远程控制 主控端远程控制界面 在被控端打开记事本进程 通过 远程进程管理 关闭记事本进程 查看被控端远程进程关闭结果