[转载]杀毒软件的简单实现

最新推荐文章于 2024-08-16 23:44:41 发布
最新推荐文章于 2024-08-16 23:44:41 发布
阅读量513 收藏 1
点赞数
文章标签: 杀毒软件 microsoft access null fp file

[转载]杀毒软件的简单实现

信息来源:cnhonker
复制内容到剪贴板
代码:
#include "FunDef.h"

int main (int argc, char *argv[])
{
if (argc==1)
{
Usage(argv[0]);
return 0;
}

if (!(ScanFileVXER(argv[1])))
{
printf("ScanFileVXER() GetLastError reports %dn",erron);
return 0;
}

if (!(ProcessVXER()))
{
printf("Processes() GetLastError reports %dn",erron);
return 0;
}

if (!(RegDelVXER()))
{
printf("RegDelVXER() GetLastError reports %dn",erron);
return 0;
}

return 0;
}

BOOL ScanFileVXER (char *FileName)
{
int count=LOW;

WIN32_FIND_DATA FindFileData;
HANDLE hFind;
BOOL returnvalue=FALSE;
DWORD lpBufferLength=HIGH;
char lpBuffer[HIGH]={LOW};
char DirBuffer[MAX_PATH];

long FileOffset=0x1784; //偏移地址
int FileLength=0x77; //长度

unsigned char Contents[]={
0x49, 0x20, 0x6A, 0x75, 0x73, 0x74, 0x20, 0x77, 0x61, 0x6E, 0x74, 0x20, 0x74, 0x6F, 0x20, 0x73,
0x61, 0x79, 0x20, 0x4C, 0x4F, 0x56, 0x45, 0x20, 0x59, 0x4F, 0x55, 0x20, 0x53, 0x41, 0x4E, 0x21,
0x21, 0x20, 0x62, 0x69, 0x6C, 0x6C, 0x79, 0x20, 0x67, 0x61, 0x74, 0x65, 0x73, 0x20, 0x77, 0x68,
0x79, 0x20, 0x64, 0x6F, 0x20, 0x79, 0x6F, 0x75, 0x20, 0x6D, 0x61, 0x6B, 0x65, 0x20, 0x74, 0x68,
0x69, 0x73, 0x20, 0x70, 0x6F, 0x73, 0x73, 0x69, 0x62, 0x6C, 0x65, 0x20, 0x3F, 0x20, 0x53, 0x74,
0x6F, 0x70, 0x20, 0x6D, 0x61, 0x6B, 0x69, 0x6E, 0x67, 0x20, 0x6D, 0x6F, 0x6E, 0x65, 0x79, 0x20,
0x61, 0x6E, 0x64, 0x20, 0x66, 0x69, 0x78, 0x20, 0x79, 0x6F, 0x75, 0x72, 0x20, 0x73, 0x6F, 0x66,
0x74, 0x77, 0x61, 0x72, 0x65, 0x21, 0x21};
//具体内容,十六进制

//获取系统目录的完整路径
if (GetSystemDirectory(DirBuffer,lpBufferLength)!=LOW)
{
if (SetCurrentDirectory(DirBuffer)!=LOW) //设置为当前目录
{
hFind=FindFirstFile(FileName,&FindFileData); //查找文件
if (hFind==INVALID_HANDLE_value)
{
printf("FindFirstFile() GetLastError reports %dn",erron);
FindClose(hFind);
return returnvalue;
}
else
{
count++;

//获得文件的完整路径
if (GetFullPathName(FindFileData.cFileName,lpBufferLength,lpBuffer,NULL)!=LOW)
printf("FilePath:%sn",lpBuffer);
else
{
printf("GetFullPathName() GetLastError reports %dn",erron);
FindClose(hFind);
return returnvalue;
}
}

//进行特征码的匹配工作
ScanVXER(FindFileData.cFileName,FileOffset,FileLength,Contents);
}
}

while (FindNextFile(hFind,&FindFileData)) //继续查找文件
{
count++;

//以"."和".."除外
if (strcmp(".",FindFileData.cFileName)==LOW||strcmp("..",FindFileData.cFileName)==LOW)
{
printf("File no include "." and ".."n");
exit(0);
}

if (GetFullPathName(FindFileData.cFileName,lpBufferLength,lpBuffer,NULL)!=LOW)
printf("Next FilePath:%sn",lpBuffer);
else
{
printf("GetFullPathName() GetLastError reports %dn",erron);
FindClose(hFind);
exit(0);
}

ScanVXER(FindFileData.cFileName,FileOffset,FileLength,Contents);

}

printf("File Total:%dn",count); //打印出查找到的文件各数
FindClose(hFind); //关闭搜索句柄
returnvalue=TRUE;
return returnvalue;
}

BOOL ScanVXER (
char *V_FileName, //文件名
long V_FileOffset, //偏移地址
int V_Length, //长度
void *V_Contents) //具体内容
{
int cmpreturn=LOW;
char FileContents[HIGH]={LOW};
BOOL returnvalue=FALSE;
FILE *fp=NULL;

fp=fopen(V_FileName,"rb"); //以二进制只读方式打开
if (fp==NULL)
{
printf("File open FAILn");
fclose(fp);
return returnvalue;
}

fseek(fp,V_FileOffset,SEEK_SET); //把文件指针指向特征码在文件的偏移地址处
fread(FileContents,V_Length,1,fp);//读取长度为特征码长度的内容
cmpreturn=memcmp(V_Contents,FileContents,V_Length);
//进行特征码匹配。失败返回FALSE
if (cmpreturn==LOW)
{
printf("File Match completelyn"); //打印文件匹配消息
strcpy(name,V_FileName); //将文件名保存在全局变量name中
exit(0);
}
else
returnvalue=FALSE;
}

BOOL ProcessVXER (void)
{
DWORD lpidProcess[1024],cbNeeded_1,cbNeeded_2;
HANDLE hProc;
HMODULE hMod[1024];
char ProcFile[MAX_PATH];
char FileName[FIVE]={LOW};
BOOL returnvalue=FALSE;
int Pcount=LOW;
int i;

EnablePrivilege(SE_DEBUG_NAME); //提升权限

//枚举进程
if (!(EnumProcesses(lpidProcess,sizeof(lpidProcess),&cbNeeded_1)))
{
printf("EnumProcesses() GetLastError reports %dn",erron);
return 0;
}

for (i=LOW;i<(int)cbNeeded_1/4;i++)
{
//打开找到的第一个进程
hProc=OpenProcess(PROCESS_ALL_ACCESS,FALSE,lpidProcess);
if (hProc)
{
//枚举进程模块
if (EnumProcessModules(hProc,hMod,sizeof(hMod),&cbNeeded_2))
{
//枚举进程模块文件名,包含全路径
if (GetModuleFileNameEx(hProc,hMod[0],ProcFile,sizeof(ProcFile)))
{
printf("[%5d]t%sn",lpidProcess,ProcFile); //输出进程
//可以考虑将其注释掉,这样就不会输出进程列表了
Pcount++;

strcpy(FileName,"C:/WINNT/system32/");
strcat(FileName,name);//把文件名+路径复制到FileName变量中

//查找进程中是否包含FileName
if (strcmp(FileName,ProcFile)==LOW)
{
//如果包含,则杀掉。KillProc为自定义的杀进程函数
if (!(KillProc(lpidProcess)))
{
printf("KillProc() GetLastError reports %dn",erron);
CloseHandle(hProc);
exit(0);
}
DeleteFile(FileName); //进程杀掉后,再将文件删除
}
}
}
}
}

CloseHandle(hProc); //关闭进程句柄
printf("nProcess total:%dn",Pcount); //打印进程各数
returnvalue=TRUE;
return 0;
}

BOOL KillProc (DWORD *ProcessID)
{
HANDLE hProc;
BOOL returnvalue=FALSE;

//打开由ProcessVXER传递的进程PID
hProc=OpenProcess(PROCESS_ALL_ACCESS,FALSE,ProcessID);

if (hProc)
{
//终止进程
if (!(TerminateProcess(hProc,0)))
{
printf("TerminateProcess GetLastError reports %dn",erron);
return returnvalue;
}
}

CloseHandle(hProc);
returnvalue=TRUE;
return returnvalue;
}

BOOL EnablePrivilege(PCHAR PrivilegeName)
{
HANDLE hProc,hToken;
TOKEN_PRIVILEGES TP;
hProc=GetCurrentProcess(); //打开进程的一个伪句柄

if(!OpenProcessToken(hProc,TOKEN_ADJUST_PRIVILEGES,&hToken))
{
return FALSE;
}

if(!LookupPrivilegevalue(NULL,PrivilegeName,&TP.Privileges[0].Luid))
{
CloseHandle(hToken);
return FALSE;
}

TP.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
TP.PrivilegeCount=1;

if(!AdjustTokenPrivileges(hToken,FALSE,&TP,sizeof(TP),0,0))
{
CloseHandle(hToken);
return FALSE;
}

CloseHandle(hToken);
return TRUE;
}

int RegDelVXER (void)
{
HKEY hkey;
DWORD ret=LOW;

//打开注册表的Run项
ret=RegOpenKeyEx(HKEY_LOCAL_MACHINE,
"SOFTWARE/Microsoft/Windows/CurrentVersion/Run/",
0,
KEY_ALL_ACCESS,
&hkey);

if (!ret==ERROR_SUCCESS)
{
printf("Register Open FAILn");
exit(0);
}

//删除键值windows auto update。
ret==RegDeletevalue(hkey,"windows auto update");

if (ret==ERROR_SUCCESS)
printf("Success Deleten");
else
{
printf("Delete FAILn");
exit(0);
}

RegCloseKey(hkey); //关闭打开的注册表项
return 1;
}

void Usage (char *Parameter)
{
char *Path="%SystemRoot%/system32/";

fprintf(stderr,"============================================================================n"
" 杀毒软件的简单实现n"
"环境:Win2K Adv Server + Visual C++ 6.0n"
"作者:dahubaobaon"
"主页:[url]www.RingZ.org;n[/url]"
"OICQ:382690n"
"邮件:[email]382690@qq.comn[/email]"
"声明:本帖由环行区(RingZ)原创,转载请注明出处,谢谢!nn"
"使用方法:n"
"%s 文件名。例如:%s msblast.exenn"
"注意事项:n"
"本程序只是简单介绍杀毒软件的编写方法,所以有很多不完善的地方,包括:n"
"1,本程序是以冲击波蠕虫做的例子n"
"2,文件遍历只搜索了%s目录下的文件n"
"3,本程序不能查杀冲击波变种nn"
"本程序只是用做代码交流,如有错误,还请多多包含!n"
"============================================================================"
,Parameter,Parameter,Path);
}
<script type="text/javascript">var tagarray = ['逆向工程','IIS','数据恢复','手机号','属主','猎头','招聘','Oracle','机器狗','感染','驱动编程','Ghost','EasyRecovery','DDoS','内核编程','Microsoft','Overflow','WPS','Office','Buffer','Serv-U','DataExplorer','百度'];var tagencarray = ['%E9%80%86%E5%90%91%E5%B7%A5%E7%A8%8B','IIS','%E6%95%B0%E6%8D%AE%E6%81%A2%E5%A4%8D','%E6%89%8B%E6%9C%BA%E5%8F%B7','%E5%B1%9E%E4%B8%BB','%E7%8C%8E%E5%A4%B4','%E6%8B%9B%E8%81%98','Oracle','%E6%9C%BA%E5%99%A8%E7%8B%97','%E6%84%9F%E6%9F%93','%E9%A9%B1%E5%8A%A8%E7%BC%96%E7%A8%8B','Ghost','EasyRecovery','DDoS','%E5%86%85%E6%A0%B8%E7%BC%96%E7%A8%8B','Microsoft','Overflow','WPS','Office','Buffer','Serv-U','DataExplorer','%E7%99%BE%E5%BA%A6'];parsetag();</script>
 
碎寒心
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
杀毒软件简单实现
小发猫
06-28 1803
#define DEBUGMSG#include #include #include #include #include #include "Psapi.h"#pragma comment (lib,"Psapi.lib")#define erron GetLastError ()#define FIVE 50#define HIGH 255TCHAR name[FIVE]={0};    //保
江民杀毒软件客户端安装手册.doc
11-23
《江民杀毒软件客户端安装指南》 江民杀毒软件是一款广泛使用的反病毒软件,其客户端的安装是确保系统安全的重要步骤。在安装前,有一些注意事项需要用户了解和遵循,以确保安装过程的顺利进行。 首先,必须注意的...
云服务器怎样杀毒软件,云服务器用什么杀毒软件
weixin_39955233的博客
07-30 271
1.管理方便软件应提供一套简单直观的账号管理、授权管理策略,管理员可快速方便地查找某个用户,查询修改访问权限;同时用户能够方便的通过登录系统对自己的基本信息进行管理,包括账号、口令等进行修改更新。2.可扩展性当进行新系统建设或扩容时,比如需要增加新的设备到3.精细审计系统应能实现对RDP、VNC、X-Window、SSH、SFTP、HTTPS等协议进行集中审计,提供对各种操作的精细授权管理和实时监...
杀毒软件的原理(转)
09-25 193
病毒在理论上是不可判定的 病毒是一段程序,不同种类的病毒,它们的代码千差万别,任何人都不可能预测明天将会出现什么新病毒。但有一点可以肯定,只要出现了一项新的计算机技术,充分利用这项新技术编制的新病毒就一定离我们不远了。而由于软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。所以,虽然有些人利用病毒某些共有的操作(如驻内存,改中断)这种共性,制作了声称可查所有...
2007年世界顶级杀毒软件排名
05-25 293
2007年世界顶级杀毒软件排名 (金奖:BitDefender 有多少人聽說過?)Toptenreviews 已经发布了2007年度的世界杀毒软件排名,与2006年名单相比,这两个排名几乎没有什么区别。也许你会注意到其中惟一的...
杀毒软件简单实现 -- quoted
明日帝国的专栏-技术改进生活
07-22 1605
#define DEBUGMSG#include #include #include #include #include #include "Psapi.h"#pragma comment (lib,"Psapi.lib")#define erron GetLastError ()#define FIVE 50#define HIGH 255TCHAR name[FIVE]={0};    //保
(转载) 到底什么样的杀毒软件
水木清华
12-01 1072
在计算机的世界里,病毒就是一种执着的力量,那么杀毒软件,就是死亡的力量;也或者病毒才是死亡的力量,不管怎样,杀毒软件是一种不可或缺的东西。我用过的一些杀毒软件,和我体验试用,或者给求助的朋友安装或者卸载的,都有我的一点感受,写出来,给大家一点思路,选择一个更适合自己用的杀毒软件。   (1)杀软篇  在介绍之前,先简单结合自己的理解和引用一些文章,来说点技术性的知识:  一、杀毒软件引擎与
6大手动杀毒软件
weixin_34345560的博客
11-16 701
1. sreng System Repair Engineer (SREng) 是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。 2.冰刃 这是一斩断黑手的利刃, 它适用于Windows 20...
杀毒软件实时杀毒的奥秘
weixin_30410119的博客
08-07 70
杀毒软件实时杀毒的奥秘 作者:LuLin 市面上所有号称"虚拟机","防火墙"的实时监控杀毒软件无一不是使用的IFSHOOK技术.但是同时也有一些朋友不断写MAIL给我打听如何实现读写的监控.下面给出用VTOOLSD写的代码.也就是所有实时杀毒软件的奥秘.同时,很多拦截文件操作的软件,例如对目录加密,文件加密等,也采用了雷同的技术. 由于代码十分简单,不分析了. //=========...
2007 年世界顶级杀毒软件排名
weixin_33796205的博客
11-16 367
Toptenreviews 已经发布了2007年度的世界杀毒软件排名,与2006年名单相比,这两个排名几乎没有什么区别。也许你会注意到其中惟一的区别是第九名由原来的 eTrust EZ Antivirus 变成了 CA Antivirus,但这两个不同的名字其实还是同一款产品,或许只是因为 CA 公司认为 CA Antivirus 记起来方...
dlg.rar_杀毒软件
09-21
标题中的“dlg.rar_杀毒软件”表明这是一个与杀毒软件相关的压缩文件,可能是某个杀毒软件的界面组件或者是模拟该界面的程序。金山毒霸是中国知名的反病毒软件之一,以其高效查杀病毒和恶意软件的能力而受到用户欢迎...
火绒安全杀毒软件安装包
07-26
火绒安全杀毒软件安装包
c++实现杀毒软件.zip
07-11
本项目"**c++实现杀毒软件.zip**"显然旨在利用C++的强大功能来创建一个杀毒软件,这是一种用于保护计算机免受病毒、木马和其他恶意软件攻击的程序。以下是对这个项目的详细说明: **C++编程基础** C++是C语言的一个...
杀毒软件开发总结及教程和源码
12-24
- 综合以上各个方面的功能和技术实现细节,一款功能完善的杀毒软件应具备全面的防护能力、便捷的操作体验以及高效的性能表现。 - 在设计过程中,需要充分考虑到用户需求,同时紧跟最新的安全技术和趋势。 #### 五、...
IIS发布打包后文件
qq_38552198的博客
08-16 103
1.打开IIS软件 2 添加网站, 自定义网站名称-选择要放置的资源路径-选择IP地址 3.打开放置的资源目录放置打包后文件 4.选择浏览
微软开源库 Detours 详细介绍与使用实例分享
dvlinker的技术专栏
08-15 3780
本文详细介绍微软开源库Detours,并分享使用Detours实现函数hook的实例。
腾讯地图SDK Android版开发 5 地图交互操作
程序喵D的博客
08-16 761
前文介绍了三个主题:创建显示地图;切换地图类型;显示定位。本文重点介绍地图交互操作及相关的类和接口。腾讯地图支持多种地图交互操作,用户可以通过手势或控件进行地图操作,以实现更好的地图浏览体验。另一方面开发者通过代码实现特定业务场景的地图交互。腾讯地图通过设定不同的地图状态,来改变地图视野。最后是不属于地图操作的地图事件,但是也很重要。比如地图加载完成事件,一些特定接口需要在地图加载完成后才能调用(在显示定位和本文均有提及)。腾讯地图提供一些基础的地图控件,包括LOGO、指南针、比例尺、定位按钮。
微软运行库全集合:一站式解决兼容性问题
最新发布
dntkorg的博客
08-16 245
开发者在部署应用程序时经常遇到因缺少运行库而引发的兼容性问题。为了解决这一问题,电脑天空推荐,一个集成了微软多个关键运行库组件的软件包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值