90行C++程式碼實現,QQ盜號木馬之專殺工具的編寫
摘要:
image
一、前言
由於我已經在《病毒木馬查殺第004篇:熊貓燒香之專殺工具的編寫》中編寫了一個比較通用的專殺工具的框架,而這個框架對於本病毒來說,經過簡單修改也是基本適用的,所以本文就不討論那些重疊的知識,只針對這個病毒特有的方面來討論專殺工...
image
一、前言
由於我已經在《病毒木馬查殺第004篇:熊貓燒香之專殺工具的編寫》中編寫了一個比較通用的專殺工具的框架,而這個框架對於本病毒來說,經過簡單修改也是基本適用的,所以本文就不討論那些重疊的知識,只針對這個病毒特有的方面來討論專殺工具的編寫,然後將其進行組合,就是完整的針對於本病毒的專殺工具了。
下面是小編整理好的一套C/C++資料,加小編C/C++學習群825414254,獲取系統性學習C/C++的學習資料
image
二、原理討論
對於本病毒而言,其最大的特色就在於使用了程序守護技術。病毒執行後,同時有三個病毒程序存在,關閉其中的任何一個,由於還有兩個病毒程序的存在,那麼被關閉的又會被重新開啟。要解決這個問題,不能靠“手速”來將三個病毒程序同時關閉,而是應當採取其他辦法。我在《安全類工具製作第004篇:程序管理器(上)》中曾經討論過,遇到這種情況就應當將那幾個程序先暫停再關閉。一般來說,程序是不能夠直接暫停的,當定位到了想要暫停的程序後,應當將該程序下的所有執行緒暫停,那麼該程序也就停止了。而經過實際測試,利用那篇文章中所編寫的程序管理器,是能夠成功關閉那三個程序的。弄清楚了原理,那麼接下來就是需要程式設計實現了。
三、程式碼編寫
我們需要將三個病毒程序一一暫停,之後再結束。為簡單起見,這裡建立的是Win32控制檯應用程式。程式碼如下:
image
image
上述程式可以編譯成功。
四、程式測試
為了測試這次只針對於病毒程序的專殺工具,我將病毒樣本和本程式均拷貝到虛擬機器中,然後執行病毒程式,最後執行本專殺工具:
image
專殺工具的測試
經測試可知,本專殺工具是有效的,便不再贅述。
五、小結
利用程序守護技術確實可以令病毒更加頑固且難以對付,需要進行特別處理才能夠將其消滅。本文所討論的方法也可以運用於其他方面,有待各位讀者的發掘。