恶意代码文件感染和内存驻留.docxVIP

恶意代码文件感染和内存驻留这次，作者将和大家一起讨论病毒的感染技术。另外，从本文开始，我们将陆续接触到一些病毒的高级编码技术。例如，内存驻留、EPO（入口点模糊）技术、加密技术、多态和变形等。通过这些高级技巧，你将进一步感受到病毒技术的精华，从而更好的享受其中精妙的思想与编程技艺。　在解决了起始目录的问题之后，就可以从这些起始目录开始使用FindFirstFile和FindNextFile开始遍历其下以及其子目录下的所有文件和目录了，遍历方法可采用深度优先或广度优先搜索算法，较常用的还是深度优先算法。具体实现方式可采用递归搜索或非递归搜索两种实现方式。递归搜索需要占用栈空间，有可能造成栈空间耗竭而产生异常，不过在现实应用中这种情况很少出现，而非递归搜索则不存在此问题，但代码实现略复杂。在现实应用中，应用最多的还是递归遍历搜索。搜索时，可指定FindFirstFile的第一形参为*.*以搜索所有文件，根据搜索结果WIN32_FIND_DATA结构的dwFileAttributes成员判断是否为目录，若为目录则需要继续遍历该子目录，根据WIN32_FIND_DATA的cFileName中的文件名成员判断是否具有要感染的文件后缀以采取修改感染动作，以下代码实现了递归搜索某个目录及其下所有子目录的功能： void enum_path(char *cpath){ 　WIN32_FIND_DA