使用高级语言编写病毒型木马（QQHacker2.0技术细节）

1、保存。保存方法是先读取病毒体并将其保存在exe文件的开头，然后将目标程序直接放在病毒体后面，然后将目标程序或病毒体的长度保存到特定位置，以便目标程序可以单独保存获取其长度。最终获得的exe文件将覆盖源目标程序。这样，我们双击最终程序，系统执行的程序就是我们的病毒体，后面添加的目标程序将不会执行。您可以在这里下载感染功能

2、被执行。首先，根据我们保存的数据，将目标程序保存到一个临时exe文件中，并使用CreateProcess使其运行，但是此时两个进程将同时运行，可以在进程查看器中轻松找到它们。并且它将在硬盘上留下一个额外的文件。目前，我们有两件事要做。一种。删除其中一个进程，我们的程序将继续执行。 b。我们创建的临时exe文件应在执行后立即删除而不会留下任何痕迹。解决方案也非常简单。第一个过程是隐藏的。我已经在“实现在WinNT和Win2K下完全隐藏该进程”一文中明确指出，即在目标进程中使用CreateRemoteThread函数来运行我们的程序。删除正在运行的程序文件的方法也很聪明，也就是说，在使用CreateProcess之前，请先使用CreateFile函数以FILE_FLAG_DELETE_ON_CLOSE模式打开“临时exe”。然后在关闭hFile句柄时，系统将自动删除临时exe文件。如下：

char strFile ='temp.exe'

hDesc = :: CreateFile（strFile，0，FILE_SHARE_READ，NULL，OPEN_EXISTING，FILE_FLAG_DELETE_ON_CLOSE，NULL）; //关闭后自动删除

:: CreateProcess（............）//启动目标程序

:: CloseHandle（hDesc）; //关闭句柄，即：删除strFile文件

3、图标。显然，被感染文件的图标将成为我们病毒程序的图标。如果病毒程序没有图片，它将显示默认的控制台图标。如果被感染的目标程序的图片变成这样，那么即使从未学习过编程的同志也可以猜到它。它已被病毒感染。在这种情况下，我们可以直接将病毒程序的图标更改为目标程序图标。有关该方法，请参阅我的文章“如何修改可执行文件的图标”。前提是我们的病毒程序必须带有图标。 QQHacker2.0中的单个病毒粒子图标对我来说占据了4K，使其突然增长到32K（不使用任何减肥工具）。我使用更长的图标长度的原因是，当目标程序的图标长度大于病毒主体图标的长度时，如果覆盖源图标，则该图标将变得混乱。原因很简单，我不再赘述。通常，当图标的长度大于4K时，我们不需要被感染，因此我们可以随时隐藏。哦，最后，我将提供另一个功能来修改图标。

三、隐藏。如前所述，请参阅“完全隐藏WinNT和Win2K下的进程”

四、后门。 QQHacker2.0的后门有两个功能。 1、获取QQ的密码。在QQ2000b0710版本中，当我们单击保存密码时，QQ会将最后保存的密码放在dat \ data.cfg中，并且仅进行了简单的对称加密。文件结构非常简单。前4个字节是指是否保存密码，后4个字节是指保存密码的长度，然后加密的密码后跟与以前相同的QQ号结构。密码的结构相同。注意：QQ号未加密。加密方法为“单个字符，偏移量为0xff”。解密时，只需使用0xff-pass。在QQHacker2.0中，根据注册表搜索QQ目录，然后获取密码。如果成功，它将返回密码电子邮件地址，无需多说。 Qiwei发现了这种加密方法，发现后立即写了QQHacker1.0。该月，CSDN上的下载排名在几天之内飙升。他的主页地址是：值得一游。 2、第二个功能是获取所有密码框的密码。它在98下很简单，可以使用SendMessage获得。在2000下，您需要将远程线程直接插入目标进程，然后再使用SendMessage来获取密码。

此外，在后门中，我们还可以通过匿名渠道绑定cmd和其他常见的木马后门。

结论：这是此文件需要使用的所有功能，源代码下载和文章地址

1、感染功能下载

2、远程线程用法示例下载

3、获得QQ密码功能下载

4、修改图标功能下载

4、“如何修改可执行文件的图标”

5、“完全隐藏WinNT和Win2K下的进程”

6、QQHacker2.0

6、我写的其他文章

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-336070-1.html