C/C++编程笔记：那些不为人知的“恶意代码“（一）切记小心使用

本文链接：https://blog.csdn.net/qq_42366672/article/details/111085732

恶意代码的分类包括计算机病毒、蠕虫、木马、后门、Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等，有些技术经常用到，有的也是必然用到。

恶意代码常见功能技术如下：进程遍历，文件遍历，按键记录，后门，桌面截屏，文件监控，自删除，U盘监控。知己知彼，百战不殆。这里旨在给反病毒工程师提供参照。

一、进程遍历

进程遍历获取计算机上所有进程的信息（用户进程，系统进程），通常是为了检索受害进程，检测是否运行在虚拟机中，以及是否存在杀软等，有时候反调试技术也会检测进程名。所以在恶意代码中进程遍历很常见。

具体流程：

1、调用CreateToolhelp32Snapshot获取所有进程的快照信息之所以称为快照是因为保存的是之前的信息，该函数返回进程快照句柄。

2、调用Process32First获取第一个进程的信息，返回的进程信息保存在PROCESSENTRY32结构体中，该函数的第一个参数是CreateToolhelp32Snapshot返回的快照句柄。

3、循环调用Process32Next从进程列表中获取下一个进程的信息，直到Process32Next函数返回FALSE，GetLastError的错误码为ERROR_NO_MORE_FILES，则遍历结束。

4、关闭快照句柄并释放资源

遍历线程和进程模块的步骤和上面的相似，线程遍历使用Thread32First和Thread32Next，模块遍历使用Module32First和Module32Next。

源码实现：

二、文件遍历

文件操作几乎是所有恶意代码必备的功能，木马病毒窃取机密文件然后开一个隐秘端口，（之前在kali渗透群看到有人提问如何识别木马，其实有一个简单的方法，几乎所有的木马都要与攻击者的主机通信的，查看打开了哪些奇怪的端口是一种方法）。

就算是再R0下，也经常会创建写入读取文件，文件功能经常用到。文件搜索功能主要是通过调用FindFirstFile和FindNextFile来实现。

具体流程

1、调用FindFirstFile函数，该函数接收文件路径，第二个参数指向WIN32_FIND_DATA结构的指针。若函数成功则返回搜索句柄。该结构包含文件的名称，创建日期，属性，大小等信息。

该返回结构中的成员dwFileAttributes为FILE_ATTRIBUTE_DIRECTORY时表示返回的是一个目录，否则为文件，根据cFileName获取搜索到的文件名称。如果需要重新对目录下的所有子目录文件都再次进行搜索的话，则需要对文件属性进行判断。若文件属性是目录，则继续递归搜索，搜索其目录下的目录和文件。

2、调用FindNextFile搜索下一个文件，根据返回值判断是否搜索到文件，若没有则说明文件遍历结束。

3、搜索完毕后，调用FindClose函数关闭搜索句柄，释放资源缓冲区资源。

源代码：

三、按键记录

收集用户的所有按键信息，分辨出哪些类似于账号，密码等关键信息进行利用，窃取密码，这里用原始输入模型直接从输入设备上获取数据，记录按键信息。

要想接收设备原始输入WM_INPUT消息，应用程序必须首先使用RegisterRawInputDevice注册原始输入设备，因为在默认情况下，应用程序不接受原始输入。

具体流程

1、注册原始输入设备

一个应用程序必须首先创建一个RAWINPUTDEVICE结构，这个结构表明它所希望接受设备的类别，再调用RegisterRawInputDevices注册该原始输入设备。将RAWINPUTDEVICE结构体成员dwFlags的值设置为RIDEV_INPUTSINK,即使程序不处于聚焦窗口，程序依然可以接收原始输入。

2、获取原始输入数据

消息过程中调用GetInputRawData 获取设备原始输入数据。在WM_INPUT消息处理函数中，参数lParam存储着原始输入的句柄。此时可以直接调用GetInputRawData 函数，根据句柄获取RAWINPUT原始输入结构体的数据。

dwType表示原始输入的类型， RIM_TYPEKEYBOARD 表示是键盘的原始输入，Message表示相应的窗口消息。 WM_KEYBOARD 表示普通按键消息， WM_SYSKEYDOWN 表示系统按键消息，VKey存储键盘按键数据。

3、保存按键信息

GetForegroundWindow 获取按键窗口的标题，然后调用 GetWindowText 根据窗口句柄获取标题，存储到本地文件。

源码：