简单病毒编写(c计算机c++篇).doc

光影 简单病毒编写（C/C++篇） 前言 简介：一些编写计算机病毒和木马功能方法的介绍与实现，阅读需要 C 语言基础与 windows API 基础。 文章主要讨论病毒与木马的伪装，破坏，隐藏与传播的实现。并附带几个小程序例子作为实 例说明。 约定： 1. 由于本人习惯，不管 C/C++都喜欢使用.cpp 文件。使用 C++特性，可以随时候随地定义 和声明变量，这样比较方便，而.c 文件变量的声明和定义都必须放在函数的开始，定义 一些临时变量什么的都需要拉回去开头书写有些麻烦。 2. 使用编译器（IDE）是 VS2010，默认的编码是 Unicode，所以有时涉及字符的 API 都加上 A，表示 Ascii 版本。如：MessageBoxA。 3. 文章只是简单介绍，没有涉及高深的内容，病毒模型都是还不成型的病毒程序，请在清 楚程序执行后果后继续。另外。附带的程序不保证在文件传播过程中还是我一开始打包 的程序，有可能被修改后再打包传播。故如果你想要观看程序的运行效果，可以使用虚 拟机（最好有安装 office 系列程序）。附带的这些病毒模型程序，运行请自负责任（否则 请勿使用），传播时需要接受方清楚该程序的作用并愿意自行接受。 本人不承担任何后 果，最终解释权归本人所有（以上，推卸责任完成）。 4. 为了防止病毒模型被用于恶作剧，我在程序打开的时候都会加入提示：您运行的是一 个病毒模型【XXXXXX】，可能会对您的系统造成不良影响，您确定要运行？按下【确定】 开始执行。按下【取消】退出程序 （运行提示） 1 / 48 光影 目录 简单病毒编写（C/C++篇） 1 前言 1 一、 伪装 3 1. 伪装性 3 1. 实现方法 4 2. 程序例子：罪恶-闪烁者 7 3. 资源文件的使用 9 4. NTFS ADS 与流文件 11 5. 远程线程 14 二、 传播 19 1. 病毒传播之复制到系统文件夹。 19 2. PE 文件感染 23 三、 爆发 32 1. 特定时间内爆发 32 2. 全盘文件破坏 34 3. 磁盘盘符破坏 38 4. 禁用鼠标和键盘 40 5. 操作系统类型判断 42 结束？ 47 2 / 48 光影 一、伪装 病毒的大致作用就是“引诱用户运行”，“后台操作”，“复制传播”，“爆发”。 对于大部分的破坏性文件病毒来说就是爆发前隐藏自己，爆发的时候进行大肆破坏，爆发后 将造成用户资料的丢失，系统的崩溃等。 对于隐私刺探型病毒，大多会获取用户账号，密码，开启摄像头等（类似于木马）。 对于玩笑型病毒，如女鬼病毒，只有恶作剧的效果，并不会引起较大的破坏。 对于间接型病毒，如下载者，用于下载其他病毒木马等程序，或一些针对杀毒软件的病毒， 破坏系统的安全性，用于下阶段的侵入。 1. 伪装性 常常可以见到病毒绑定在其他 exe 中一起运行，同时也可以通过更改图标，文件名的显 示顺序等迷惑用户。 如：罪恶-闪烁者 程序的文件截图，我们可以看到图标是 ppt，文件信息是“文稿.ppt”， 文件后缀名是“.ppt”，咋看一下，是个 ppt 文档，但它切切实实是一个 exe 可执行程序。文 件名是：“新建 Microsoft PowerPointppt.exe” (罪恶-闪烁者程序文件截图，一个让屏幕不断开关的程序。看起来像一个 ppt) （七宗罪-暴食程序文件截图，一个尝试修改全盘文件内容的程序，看起来像一个 doc） 3 / 48 光影 2. 实现方法 a. 命名。 例子的程序：lucifer.exe 进行重命名： 删除后缀名“.exe”,然后右击选择“插入 Unicode 控制字符(I)”?”RLO Start of right-to-left override”，这样就插入了特殊的控制符，之后输入的字符将从右显示。 我们输入“cod.exe”,看起来就变成了“exe.doc”,即“luciferexe.doc”，看起来相当于一 个 WORD 文档。但是程序运行依旧正常。 重命名后得到： 4 / 48 光影 注：这种命名方式会造成需要使用本程序名操作的函数出错（如复制，打开等）。 b. 图标 在编译生成 exe 之前加入一些常用文档的图标，然后在生成 exe 即可。可以使用图标提取程 序直接在目标程序中提取图标，需要使用的时候就将图标导入资源文件。 c. 版本信息。 在 EXE 文件中显示其他文件的信息。这在用户资源管理器中显示图标为“平铺”的状况 下特别有用（可以显示出我们伪装的信息）。 以下以“七宗罪-暴食”为例子。 首先添加资源 Version。 （在“解决方案”右击 ?添加 - 资源） 5 / 48 光影 （选择 version，新建） 接着打开资源文件 Version。 （打开中的 Version） 在 Fil