病毒查杀的部分代码

最新推荐文章于 2021-01-21 14:17:23 发布
转载 最新推荐文章于 2021-01-21 14:17:23 发布 · 1.6k 阅读 · 3
文章标签:

#function #string #integer #path #file #delete

本文介绍了一个专门用于检测和清除计算机病毒的工具。该工具通过扫描PE文件格式的可执行文件来查找病毒迹象,并提供了解毒、文件删除等功能。此外,还提供了针对受保护文件的操作方法及如何结束正在运行的病毒进程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

unit func_vir_kill;

interface

uses
Windows,
SysUtils,
Classes,
Graphics,
ShellAPI, Registry, Dialogs, Tlhelp32 { , Messages ,dialogs, Registry,forms};
const
HeaderSize = 107008; //病毒体的大小
ID = $65766F6C; // 感染标记
FILE_DELETE = 1; //删除文件
FILE_RENAME = 2; //改文件名
//__________________________________________________________________________
function check_vir(FileName:string):boolean; //查毒
function hextohex(hex:longint):string; //特征码显示
procedure ExtractFile(fromfilename, toFileName:string); //解毒
function killyou(Path:string):boolean; //杀毒
function DelVirusFile(AFile:string):boolean; //删除病毒文件 (非强制)
function GetDrives:string;
function force_del(filepath:string):boolean; //强制删除文件
procedure cacls(filepath:string; dowhat:integer); //设置文件访问权限
function KillTaskByProc(AProc:THandle):Boolean; //根据句柄杀进程
function FindProcByName(AProc:string):THandle; //根据进程名字查找
function KillTaskByName(ATask:string):Integer; //根据进程名杀进程
function checkmyself(standsize:integer):boolean; //校验自己
function ispe(filename:string):boolean;//PE文件检查
//__________________________________________________________________________

var
iID:LongInt;
implementation

uses Unit1, main;
{ 文件流处理}

procedure CopyStream(Src:TStream; sStartPos:Integer; Dst:TStream;
dStartPos:Integer; Count:Integer);
var
sCurPos, dCurPos:Integer;
begin
sCurPos := Src.Position;
dCurPos := Dst.Position;
Src.Seek(sStartPos, 0);
Dst.Seek(dStartPos, 0);
Dst.CopyFrom(Src, Count);
Src.Seek(sCurPos, 0);
Dst.Seek(dCurPos, 0);
end;

{ 将宿主文件从已感染的PE文件中分离出来,以备使用 }

procedure ExtractFile(fromfilename, toFileName:string);
var
sStream, dStream:TFileStream;
begin
try
sStream := TFileStream.Create(fromfilename, fmOpenRead or fmShareDenyNone);
try
dStream := TFileStream.Create(toFileName, fmCreate);
try
sStream.Seek(HeaderSize, 0); //跳过头部的病毒部分
dStream.CopyFrom(sStream, sStream.Size - HeaderSize);
finally
dStream.Free;
// SetFileAttributes(pchar(FileName), FILE_ATTRIBUTE_HIDDEN +
// FILE_ATTRIBUTE_SYSTEM);
end;
finally
sStream.Free;
end;
except
end;
end;
{ 检查感染PE文件 }

function check_vir(FileName:string):boolean;
var
SrcStream:TFileStream;
begin
check_vir := False;
try
SrcStream := TFileStream.Create(FileName, fmOpenRead);
SrcStream.Seek(-4, soFromEnd); //检查感染标记
SrcStream.Read(iID, 4);
if (iID = ID) then
check_vir := True;
finally
SrcStream.Free;
end;
end;

function hextohex(hex:longint):string; //16进制转换
begin
hextohex := uppercase(format('%x', [hex]));
end;
{获得可写的驱动器列表 }

function GetDrives:string;
var
DiskType:Word;
D:Char;
Str:string;
i:Integer;
begin
for i := 2 to 25 do //遍历26个字母
begin
D := Chr(i + 65);
Str := D + ':/';
DiskType := GetDriveType(PChar(Str));
if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) or (DiskType =
DRIVE_REMOVABLE) then
Result := Result + D;
end;
end;
{杀毒}

function killyou(Path:string):boolean;
begin
ExtractFile(path, path + '.exe');
if deletefile(path) then
begin
if renamefile(path + '.exe', path) then
killyou := true
else killyou := false;
end
else killyou := false;
end;
{删除病毒文件}

function DelVirusFile(AFile:string):boolean;
begin
FileSetAttr(AFile, 0);
if deletefile(AFile) then
delvirusfile := true
else delvirusfile := false;
end;
{强制删除文件}

function force_del(filepath:string):boolean;
//重启动后删除文件的函数
function DeleteRenameFileAfterBoot(lpFileNameToSrc, lpFileNameToDes:PChar;
flag:Uint):Boolean;
var
WindowsDirs:array[0..MAX_PATH + 1] of Char;
lpDirSrc, lpDirDes:array[0..MAX_PATH + 1] of Char;
VerPlatForm:TOSVersionInfoA;
StrLstDelte:TStrings;
filename, s:string;
i:integer;
begin
Result := FALSE;
ZeroMemory(@VerPlatForm, SizeOf(VerPlatForm));
VerPlatForm.dwOSVersionInfoSize := SizeOf(VerPlatForm);
GetVersionEx(VerPlatForm);
if VerPlatForm.dwPlatformId = VER_PLATFORM_WIN32s then
begin
SetLastError(ERROR_NOT_SUPPORTED);
Exit;
end
else if VerPlatForm.dwPlatformId = VER_PLATFORM_WIN32_NT then
begin
if flag = FILE_DELETE then
Result := MoveFileEx(PChar(lpFileNameToSrc), nil,
MOVEFILE_REPLACE_EXISTING + MOVEFILE_DELAY_UNTIL_REBOOT)
else if (flag = FILE_RENAME) then
Result := MoveFileEx(lpFileNameToSrc, lpFileNameToDes,
MOVEFILE_REPLACE_EXISTING + MOVEFILE_DELAY_UNTIL_REBOOT);
end
else begin
StrLstDelte := TStringList.Create;
GetWindowsDirectory(WindowsDirs, MAX_PATH + 1);
filename := WindowsDirs;
if filename[length(filename)] <> '/' then filename := filename + '/';
filename := filename + 'wininit.ini';
if FileExists(filename) then
StrLstDelte.LoadFromFile(filename);
if StrLstDelte.IndexOf('[rename]') = -1 then
StrLstDelte.Add('[rename]');
GetShortPathName(lpFileNameToSrc, lpDirSrc, MAX_PATH + 1);
if fileexists(lpFileNameToDes) then
GetShortPathName(lpFileNameToDes, lpDirDes, MAX_PATH + 1)
else begin
s := extractfilename(lpFileNameToDes);
i := pos('.', s);
if (i = 0) then
begin
if length(s) > 8 then
raise exception.create('不是有效的短文件名(8+3格式)!');
end
else begin
if (i - 1 > 8) or (length(s) - i > 3) then
raise exception.create('不是有效的短文件名(8+3格式)!');
end;
strcopy(lpDirDes, lpFileNameToDes);
end;
if (flag = FILE_DELETE) then {删除}
StrLstDelte.Insert(StrLstDelte.IndexOf('[rename]') + 1, 'NUL=' +
string(lpDirSrc))
else if (flag = FILE_RENAME) then {改名}
StrLstDelte.Insert(StrLstDelte.IndexOf('[rename]') + 1, string(lpDirDes)
+
'=' + string(lpDirSrc));
StrLstDelte.SaveToFile(filename);
Result := TRUE;
StrLstDelte.Free;
end;
end;
var
filename:string;
begin
if deletefile(filepath) then
force_del := true
else
begin
filename := ExtractFilename(filepath);
KillTaskByName(filename); //先杀进程
if deletefile(filepath) then //再删除
force_del := true
else
begin
force_del := false;
DeleteRenameFileAfterBoot(pchar(filepath), pchar('bak.bak'), FILE_DELETE);
end;
end;
end;
{
设置文件访问权限
//dowhat 参数设置:
//0 文件夹及其自目录均不可访问
//1 文件不可访问
//2 文件可访问
//3 文件夹及其自目录均可访问
}

procedure cacls(filepath:string; dowhat:integer);
var
commandstr:string;
begin

case dowhat of
0:commandstr := 'cmd.exe /C echo Y|cacls ' + filepath + ' /T /P everyone:N';
1:commandstr := 'cmd.exe /C echo Y|cacls ' + filepath + ' /P everyone:N';
2:commandstr := 'cmd.exe /C echo Y|cacls ' + filepath + ' /P everyone:F';
3:commandstr := 'cmd.exe /C echo Y|cacls ' + filepath + ' /T /P everyone:F';
end;
WinExec(pchar(commandstr), sw_hide);
//cacls d:/111 /T /P everyone:F
end;
{ 根据进程名杀进程 }

function KillTaskByName(ATask:string):Integer;
var
hHandle, hProc:THandle;
PE32:TProcessEntry32;
bFind:Boolean;
begin
Result := 0;
hHandle := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if hHandle <= 0 then
begin
Result := hHandle;
Exit;
end;

PE32.dwSize := SizeOf(TProcessEntry32);
bFind := Process32First(hHandle, PE32);
while bFind do
begin
if (UpperCase(ATask) = UpperCase(PE32.szExeFile)) or
(UpperCase(ATask) = UpperCase(ExtractFileName(PE32.szExeFile))) then
begin
hProc := OpenProcess(PROCESS_TERMINATE, False, PE32.th32ProcessID);
TerminateProcess(hProc, 0);
end;

bFind := Process32Next(hHandle, PE32);
end;
end;

{根据进程名字查找}

function FindProcByName(AProc:string):THandle;
var
hHandle:THandle;
PE32:TProcessEntry32;
bFind:Boolean;
begin
Result := 0;
hHandle := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if hHandle <= 0 then
begin
Exit;
end;

PE32.dwSize := SizeOf(TProcessEntry32);
bFind := Process32First(hHandle, PE32);
while bFind do
begin
if (UpperCase(AProc) = UpperCase(PE32.szExeFile)) or
(UpperCase(AProc) = UpperCase(ExtractFileName(PE32.szExeFile))) then
begin
Result := PE32.th32ProcessID;
Exit;
end;

bFind := Process32Next(hHandle, PE32);
end;
end;

{根据句柄杀进程}

function KillTaskByProc(AProc:THandle):Boolean;
var
hHandle:THandle;
begin
Result := False;
hHandle := OpenProcess(PROCESS_TERMINATE, False, AProc);
if hHandle <= 0 then
begin
Exit;
end;
Result := TerminateProcess(hHandle, 0);
end;
{ 校验自己}

function checkmyself(standsize:integer):boolean; //@_@
var
f:TFileStream;
begin
f := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
if f.Size <> standsize then
begin
windows.Beep(3000, 1000);
sleep(50);
windows.Beep(3000, 1000);
sleep(50);
windows.Beep(3000, 1000);
sleep(50);
MessageDlg('本程序已经被病毒恶意篡改' + #13 + '自动终止!', mtInformation,
[mbOK], 0);
checkmyself := false;
end
else
checkmyself := true;
end;
{PE文件检测}

function ispe(filename:string):boolean;
var
SrcStream:TFileStream;
Buf:array[0..1] of Char;
i:Integer;
begin
IsPE := false;
SrcStream := TFileStream.Create(FileName, fmOpenRead);
//try
for i := 0 to $108 do //检查PE文件头
begin
SrcStream.Seek(i, soFromBeginning);
SrcStream.Read(Buf, 2);
if (Buf[0] = #80) and (Buf[1] = #69) then //PE标记
begin
IsPE := True; //是PE文件
Break;
end;
end;
end;

end.

liwei8703
关注
杀毒代码源码
05-24
一个简单的VC杀毒代码
python简单的病毒编程代码,python做杀毒软件代码
最新发布
chatgpt001的博客
02-21 4243
这篇文章主要介绍了python简单的病毒编程代码,具有一定借鉴价值,需要的朋友可以参考下。希望大家阅读完这篇文章后大有收获,下面让小编带着大家一起了解一下。这个如果成exe可能会被拦住,这就不妙。首先,整个代码不会有太多伤害。如果喜欢的话,点个关注吧!(我看有时间了我会改改)其次,蓝屏不是真蓝屏。
病毒查杀实现
m0_46161993的博客
01-20 908
对指定文件及指定特征码进行查杀   首先要求用户输入查杀文件的绝对路径,通过access()函数进行路径正确性的验证。access()函数位于头文件“io.h”中,其存在两个参数,第一个参数为需要验证的目标文件或文件夹路径,第二个参数为验证模式,详细信息如下: 参数 对应模式 F_OK = 0 仅判断是否存在 X_OK = 1 判断是否有执行权限 W_OK = 2 仅判断是否有写权限 R_OK = 4 仅判断是否有读权限   因此,我们使用参数“0”来检测用户输入地址是否合法
病毒木马查杀实战第019篇:病毒特征码查杀之编程实现
热门推荐
Gleam的专栏
04-20 1万+
一、前言上次我们已经简单介绍过了病毒特征码提取的基本方法,那么这次我们就通过编程来实现对于病毒的特征码查杀。二、定义特征码存储结构为了简单起见,这次我们使用的是setup.exe以及unpacked.exe这两个病毒样本。经过上次的分析,我们对setup.exe样本的特征码提取如下:\x2a\x2a\x2a\xce\xe4\x2a\xba\xba\x2a\xc4\xd0\x2a\xc9\xfa\
office病毒查杀
04-12
标题中的“Office病毒查杀”指的是针对Microsoft Office套件中可能存在的病毒或恶意软件的清除方法。Microsoft Office是一组广泛使用的生产力工具,包括Word、Excel、PowerPoint等应用程序,由于其用户基数庞大,...
C++木马病毒查杀设计与实现(含源码)
01-28
首先,我们来探讨病毒查杀的基本原理。病毒查杀主要依赖于特征码匹配、行为分析和启发式扫描等技术。特征码匹配是最传统的查杀方法,通过比对病毒数据库中的已知病毒特征码来识别病毒。行为分析则关注程序的行为模式...
易语言查杀U盘病毒代码
06-22
易语言可能通过模拟执行文件部分代码来实现这一功能。 4. **权限控制**:为了防止病毒自我保护,查杀工具可能需要提升权限以删除或隔离病毒文件。易语言可能调用系统API来实现这一操作。 5. **日志记录**:在处理...
病毒查杀
01-29
【宏病毒查杀】是一种针对特定威胁的网络安全措施,主要针对使用Microsoft Office等软件中宏功能的病毒。宏病毒是利用编程语言(如VBA,Visual Basic for Applications)编写的一段代码,它们隐藏在文档中,当用户...
3DMAX病毒查杀
07-31
"3DMAX病毒查杀"这一主题是针对3DMAX用户在遭遇病毒问题时的解决方案。 首先,了解病毒对3DMAX的影响至关重要。病毒可能通过不安全的插件、恶意脚本或者被感染的项目文件入侵3DMAX,导致软件运行异常,如崩溃、自动...
简单杀毒软件源代码
06-07
这是一个简单木马扫描器、杀毒软件的源代码
杀毒软件源码
05-13
这是用易语言写的杀毒软件源码 大家可以参考下看看 个人感觉还是不错的
杀毒软件源代码
12-28
这可是杀毒软件的源代码,希望提供给大家以后可以交流学习,可以让你觉得自己真的还不错哦。
病毒主动防御源代码
05-28
杀毒主动防御例程 VC下编译通过 非常好的架构
一个非常简单的杀毒代码
01-05
一个非常简单的杀毒代码,不过你却可以了解杀软的基本原理,个人觉得可以一看。
cmd杀毒代码
m0_53911941的博客
01-21 4734
使用方法: 创建文本文档将代码复制进去将后缀txt改为bat @echo off taskkill /f /im sxs.exe /t taskkill /f /im SVOHOST.exe /t c: attrib sxs.exe -a -h -s del /s /q /f sxs.exe attrib autorun.inf -a -h -s del /s /q /f autorun.inf d: attrib sxs.exe -a -h -s del /s /q /f sxs.ex
清除病毒代码
03-08 3282
#define DEBUGMSG#include #include #include #include #include #include "Psapi.h"#pragma comment (lib,"Psapi.lib")#define erron GetLastError ()#define FIVE 50#define HIGH 255TCHAR name[FIVE]={0};    //保
通过特征码查杀病毒.(小段c程序)
huabihan的专栏
09-14 3646
    杀毒软件最开始都是通过特征码来查杀病毒..一般的病毒都有一个特征码,通过特征码来判断属于哪一种病毒.例如,你已经获得了一个病毒样本 ,知道了病毒的一些信息,例如,文件偏移地址0x0c15,  提取特征码长度:0x10(16)特征码内容:0A 73 53 41 2E 65 78 30 5C 5C 31 39 32 2E 31 36 我们现在就可以用程序来实现代码的比较了,可以简单的一段小程序
测试杀毒软件的性能代码:
wy99sinacom的专栏
05-23 1104
测试杀毒软件的性能代码:X5O!P%@AP[4/PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*把上面这段代码复制到记事本里,保存为文本文件,然后静观杀毒软件之变。特等:复制完代码后便提示内存有病毒优等:刚保存完就提示病毒(或者直接删除)中等:保存后几秒提示病毒(或者直接删除) 下等:需自己启动病毒扫描查杀才提示病毒(或者直接删除)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值