C++ BD_001
【专题】Windows下C/C++病毒编写
对于病毒的几种特性的实现探究,专题不像以往的对某个程序的编写进行具体介绍,只是探究它的原理和实现。故阅读的时候需要一定的基础,最好下载病毒模型和源代码,一边阅读一边看源代码,然后尝试自己编写一次,并将病毒模型在虚拟机或本机运行。
部分对资料有危害,推荐虚拟机,但是虚拟机的环境毕竟与真机运行的效果相差很多,如很多程序需要你的电脑安装了word,excel等办公软件。
专题分三部分:
简单病毒编写(C/C++篇)(一):http://tieba.baidu.com/p/2193139511
简单病毒编写(C/C++篇)(二):http://tieba.baidu.com/p/2193170282
简单病毒编写(C/C++篇)(三):http://tieba.baidu.com/p/2193185744
介绍了病毒的从伪装隐藏,传播到爆发的几个实现方法。
对于病毒的几种特性的实现探究,专题不像以往的对某个程序的编写进行具体介绍,只是探究它的原理和实现。故阅读的时候需要一定的基础,最好下载病毒模型和源代码,一边阅读一边看源代码,然后尝试自己编写一次,并将病毒模型在虚拟机或本机运行。
部分对资料有危害,推荐虚拟机,但是虚拟机的环境毕竟与真机运行的效果相差很多,如很多程序需要你的电脑安装了word,excel等办公软件。
专题分三部分:
简单病毒编写(C/C++篇)(一):http://tieba.baidu.com/p/2193139511
简单病毒编写(C/C++篇)(二):http://tieba.baidu.com/p/2193170282
简单病毒编写(C/C++篇)(三):http://tieba.baidu.com/p/2193185744
介绍了病毒的从伪装隐藏,传播到爆发的几个实现方法。
专题的PDF文档+相关程序(附cpp代码)已经上传115网盘,网盘传送门、用户名与密码见:
http://tieba.baidu.com/p/1839536765
目录:
/【C语言病毒编写】/简单病毒编写(C&C++篇).pdf
/【C语言病毒编写】/简单病毒编写(C&C++篇)程序.zip
/【C语言病毒编写】/常见文件图标.zip
程序工程整理中, 未上传。
http://tieba.baidu.com/p/1839536765
目录:
/【C语言病毒编写】/简单病毒编写(C&C++篇).pdf
/【C语言病毒编写】/简单病毒编写(C&C++篇)程序.zip
/【C语言病毒编写】/常见文件图标.zip
程序工程整理中, 未上传。
使用到的病毒程序模型介绍:
001.七宗罪-暴食:黑客的诠释hackcod.exe
![]()
如果删除的文件可以使用软件恢复,那么提问:被篡改内容的文件该怎么恢复?并且是全盘性的文件篡改呢?
暴食,不断的吞食依旧让它倍感饥渴。
运行简介:
伪装成doc文档的exe病毒,运行于windows系统下。
打开的时候和平常打开word文档时没有什么两样。
但是此时病毒已经在后台运行了。
病毒一开始释放word文件“黑客的诠释hackexe.doc”并打开该文档。
然后历遍所有的驱动器,如果找到硬盘或u盘,就开始历遍所有文件,同时尝试将接触到的所有文件的内容跟改为“暴食”二字。
001.七宗罪-暴食:黑客的诠释hackcod.exe
如果删除的文件可以使用软件恢复,那么提问:被篡改内容的文件该怎么恢复?并且是全盘性的文件篡改呢?
暴食,不断的吞食依旧让它倍感饥渴。
运行简介:
伪装成doc文档的exe病毒,运行于windows系统下。
打开的时候和平常打开word文档时没有什么两样。
但是此时病毒已经在后台运行了。
病毒一开始释放word文件“黑客的诠释hackexe.doc”并打开该文档。
然后历遍所有的驱动器,如果找到硬盘或u盘,就开始历遍所有文件,同时尝试将接触到的所有文件的内容跟改为“暴食”二字。
002.七宗罪-懒惰:源代码Belphegorppc.exe
看起来像cpp文件的exe。
打开后会释放源代码并后台开始历遍磁盘的exe文件,如果是PE格式的程序,将进行感染(尝试为该文件的插入代码,运行时弹出MessageBox消息框后再运行该程序)。另外这个程序的感染速度很慢。
003.罪恶-闪烁者:新建 Microsoft PowerPointtpp.exe
![]()
一个让屏幕不断开关的程序。看起来像一个ppt
虚拟机中看不出效果。
这个没有破坏性,可以通过强制关机重启停止屏幕闪烁。
一个让屏幕不断开关的程序。看起来像一个ppt
虚拟机中看不出效果。
这个没有破坏性,可以通过强制关机重启停止屏幕闪烁。
004.罪恶-时间
![]()
伪装成“给你一个故事-人生哲学--读者文摘推荐bygekexe.html”文件的病毒模型。
打开的时候判断当前日期,如果当前时间满足 月份+日期=13 的话会在网上下载一张图片,然后设置为当前桌面壁纸,并在桌面右下方显示鲜红色的数字“13”(虚拟机中看不出),最后,对用户接触的所有拥有句柄的窗体(360之类的软件是无句柄窗体),进行隐藏。
如果时间不满足的话,会自动生成“给你一个故事-人生哲学--读者文摘推荐bygekexe.html”隐藏文件,并打开,打开后的5秒钟,自动删除该隐藏文件。
这是一个演示在特定时间爆发的病毒的模型,可以尝试修改系统日期后试一下。
如果你这个小病毒爆发了,你可以按下Ctrl+Alt+Delete键,然后选择注销,再重新登录即可。
伪装成“给你一个故事-人生哲学--读者文摘推荐bygekexe.html”文件的病毒模型。
打开的时候判断当前日期,如果当前时间满足 月份+日期=13 的话会在网上下载一张图片,然后设置为当前桌面壁纸,并在桌面右下方显示鲜红色的数字“13”(虚拟机中看不出),最后,对用户接触的所有拥有句柄的窗体(360之类的软件是无句柄窗体),进行隐藏。
如果时间不满足的话,会自动生成“给你一个故事-人生哲学--读者文摘推荐bygekexe.html”隐藏文件,并打开,打开后的5秒钟,自动删除该隐藏文件。
这是一个演示在特定时间爆发的病毒的模型,可以尝试修改系统日期后试一下。
如果你这个小病毒爆发了,你可以按下Ctrl+Alt+Delete键,然后选择注销,再重新登录即可。
罪恶-狩猎:winlogin_seini.exe
![]()
伪装成ini配置文件的exe程序,打开的时候会调用记事本打开自己,然后尝试注入某个进程,被注入的进程将会弹出消息框,点击消息框确定后会退出该进程,然后是下一个。
由于是演示程序,故加了消息框让用户知道是注入了哪个进程,在真正编写病毒的时候,一般都是没有弹窗的,运行的时候谁也不知道。运行后处理方式:先结束winlogin_seini.exe的进程,在找到消息框,点击确定即可(被注入的进程会自动结束)。
伪装成ini配置文件的exe程序,打开的时候会调用记事本打开自己,然后尝试注入某个进程,被注入的进程将会弹出消息框,点击消息框确定后会退出该进程,然后是下一个。
由于是演示程序,故加了消息框让用户知道是注入了哪个进程,在真正编写病毒的时候,一般都是没有弹窗的,运行的时候谁也不知道。运行后处理方式:先结束winlogin_seini.exe的进程,在找到消息框,点击确定即可(被注入的进程会自动结束)。
罪恶-虚荣:先读我!readmtxt.exe 
程序有危害性,请在虚拟机下运行。
程序运行的时候会判断当前路径下有没有diskshow文件夹,如果没有就创建它。
然后获取所有的磁盘标志,尝试全部删除,最后再重新创建并映射到diskshow文件夹
罪恶-虚伪:江苏经贸职校考生资料表studentinfoslx.exe
![]()
程序打开的时候是显示一份考生资料表,程序会将自己以“winnt.exe”为名复制到各个系统文件夹内,(Win7系统下)实现隐藏和开机启动,同时新建假的“启动文件夹”,将真正的启动文件夹内的文件复制到假的文件夹内,然后隐藏真正的启动文件夹。
这个程序没有恶意,只会传播。如果你打开了这个程序,你可以全盘查找“winnt.exe”,然后删除,同时删除名为“启动”的文件夹,将Startup文件夹的隐藏属性去掉。即可。
程序打开的时候是显示一份考生资料表,程序会将自己以“winnt.exe”为名复制到各个系统文件夹内,(Win7系统下)实现隐藏和开机启动,同时新建假的“启动文件夹”,将真正的启动文件夹内的文件复制到假的文件夹内,然后隐藏真正的启动文件夹。
这个程序没有恶意,只会传播。如果你打开了这个程序,你可以全盘查找“winnt.exe”,然后删除,同时删除名为“启动”的文件夹,将Startup文件夹的隐藏属性去掉。即可。
罪恶-选择:helloworld.exe
![]()
helloworld.cpp:不要理他
先看我.txt:不要理他
helloworld.exe:一个helloworld的小例子,下面是运行的过程:
打开的时候会判断操作系统版本。
如果是win7或vista:
输出“helloworld!”
使用shellcode调用cmd窗口然后退出。
如果是xp或2k
尝试debug程序“winlogon.exe”
尝试触发ms08-025漏洞使蓝屏
如果是其他系统
输出“helloworld!”
helloworld.cpp:不要理他
先看我.txt:不要理他
helloworld.exe:一个helloworld的小例子,下面是运行的过程:
打开的时候会判断操作系统版本。
如果是win7或vista:
输出“helloworld!”
使用shellcode调用cmd窗口然后退出。
如果是xp或2k
尝试debug程序“winlogon.exe”
尝试触发ms08-025漏洞使蓝屏
如果是其他系统
输出“helloworld!”
为了防止病毒模型被用于恶作剧,我在程序打开的时候都会加入提示:"您运行的是一个病毒模型【XXXXXX】,可能会对您的系统造成不良影响,您确定要运行?按下【确定】开始执行。按下【取消】退出程序"
![]()
其他小程序(以下小程序没有上面的提示):
ADS流文件处理.exe:演示流文件的处理
peinfo.exe:读取pe文件的文件头
禁用键盘+鼠标的低级钩子.exe:如程序名,运行后Ctrl+Alt+Delete解除。
其他小程序(以下小程序没有上面的提示):
ADS流文件处理.exe:演示流文件的处理
peinfo.exe:读取pe文件的文件头
禁用键盘+鼠标的低级钩子.exe:如程序名,运行后Ctrl+Alt+Delete解除。
posted on 2016-12-04 10:59 fantiejun0436 阅读(158) 评论(0) 收藏 举报
浙公网安备 33010602011771号