|
前言: 可能大家想到病毒,第一反应就是可能是用asm来编写,或者是vbsript,而高级语言如delphi就好象不能编写一样,其实事实并不是这个样子的,只要我们花一些时间,照样可以写出简短而高效的病毒程序来,一点也不输那些用汇编写出来的程序哦。 一个病毒程序首先要短小,我们的目标是经过压缩后控制在30k以下。用过delphi的朋友都知道,如果在uses里面加入forms,classes.....等就会使目标文件非常的大,所以,在我们的程序里,我们要尽可能的不用这些库。我们只用windows,winsock,shellapi,sysutils(这个里面包含了一些常用的函数,比如对文件的操作,对字符串的操作,如果用自己的程序来代替,目标文件会更加的小) 首先,我们知道,一个病毒程序一般都分下面三个模块: ①保护模块; ②感染模块; ③发作模块。 下面我们就从这三个模块开始,分别实现他们的代码。 一)保护模块。 一般,我们都是把自身拷贝到系统的一些目录里,比如%systemroot%。那么,我们首先要取得这些特定的目录的路径sdk里面给我们提供了一个这样的函数GetSystemDirectory : UINT GetSystemDirectory(
LPTSTR lpBuffer, // 存放返回的字符串的缓冲区
UINT uSize // 上面的缓冲去的长度
); 相关的函数还有GetWindowsDirectory可以得到%windows%的路径 得到了系统的目录后,第二步就是拷贝文件了。sdk为我们提供了一个函数copyfile : BOOL CopyFile(
LPCTSTR lpExistingFileName, // 源文件的路径
LPCTSTR lpNewFileName, // 目标文件的路径
BOOL bFailIfExists // 这是一个标志,如果目标文件已经存在,是否强制覆盖
); 拷贝文件完毕后,我们来把这个文件设置为系统和隐藏,那么一般情况是看不见该文件的,除非选取查看所有文件,以及显示受保护文件。 同样,介绍一个函数SetFileAttributes : BOOL SetFileAttributes(
LPCTSTR lpFileName, // 需要设置的文件的文件名
DWORD dwFileAttributes // 设置的值。
); 我们这里要设置为隐藏和系统,那么就为第二个参数传递FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM 下面就是最重要的,让该文件开机自动运行,我们一般都是写注册表,首先用RegOpenKey函数来打开一个键。 LONG RegOpenKey(
HKEY hKey, // 主键,比如HKEY_LOCAL_MACHINE
LPCTSTR lpSubKey, // 跟随的subkey
PHKEY phkResult // 存放函数返回这个打开的键的句柄
);
|
