标记学习。谢谢分享

不错，ie中就有这种类型的

请问 怎么学习 编程··

有天帮朋友杀毒也发现一个lnk文件的木马，他更绝的是把所有快捷方式扩展名lnk全改成了skl，还出现在右键的新建菜单中，时间关系没有深入研究，要样本的可以PM我

要顶。。。。。。。。

进来MARK。。以后也许要看看

今天看到 http://bbs.pediy.com/showthread.php?t=117232&page=2 才明白, 不是不给机会, 而是你让它溜走了...

学习学习..

大开眼界啊~

学习了。可是一开始的结构中有点儿小小的问题

   /- +-------------------------------+
   |  |size (该节总长度)              |------> 该项如果修改，会导致.lnk无法运行,如果含有命令参数，也会混乱。
   |  +-------------------------------+
   |  |SHITEMID[0]                    |------> 该项所有值均固定，unsigned char data[22] = {
   V  +-------------------------------+           0x14, 0x00, 0x1F, 0x50, 0xE0, 0x4F, 0xD0, 0x20, 0xEA, 0x3A, 0x69, 0x10, 0xA2, 0xD8, 0x08,
size  |SHITEMID[1]                    |------\    0x00, 0x2B, 0x30, 0x30, 0x9D, 0x19, 0x00};
   A  +-------------------------------+      |    也就是cb=0x0014，修改任意值都会导致.lnk无法运行。
   |  |...                            |      |   
   |  |                               |      .------> 该项cb的值一般固定为0x2f(也可能是别的值),不可修改。abID的值为指向目标程序所在盘符的字符串
   |  |                               |               如"C:\"，该段空间数据可以任意修改。
   |  |                               |------\
   |  +-------------------------------+      | -----> 修改会影响.lnk文件执行。
   |  |SHITEMID[n]                    |------/
   \- +-------------------------------+

第一个SHITEMID结构中的abID数据中最后面的0x19, 0x00 其实是第二个SHITEMID结构的cb值0x0019
而并不属于第一个SHITEMID结构。

另外，第一个SHITEMID结构的abID数值其实就是我的电脑的GUID，与注册表中的值一样。
所以不能修改。否则就定位不到对应的目标文件了。

强帖留名，收藏先

不错，认真学习。。

顶一下，谢谢楼主

没错，是这样的

感谢webwizard 指正错误，
是我把SHITEMID[0] 计算错误了。
帖子已经过了时间，我没法重新编辑了，希望不要误导了大家。cb 的长度是整个SHITEMID结构的长度，也包括cb自身两个字节。

楼主辛苦了，Mark了

膜拜中。。。

楼主辛苦了，Mark了

感谢LZ，mark一下～～

学习一下，学习

这个我写过，但是目前在360下面会提示桌面图标被改，让人很郁闷

相当详细。。。！！

谢谢楼主分享 先留着以后要用再看

学习了,谢谢！

好 学习了 谢谢分享