1、程序运行后将自身复制到C:\\WINDOWS\\system32\\文件夹下,程序名为vrius.exe。 2、在注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 下写入键值,实现程序开机启动。 3、程序定时器每秒启发一次,如果发现,注册表,任务管理器被打开,立即将其关闭。 (可以使用驱动级反病毒辅助软件。比如冰刃,狙剑结束此程序进程,因为程序运行后就无法使用Windows任务管理器了)。 4、程序每秒枚举一次进程,如发现QQ进程,立即将其结束(无论是已登录还是正在登陆)。 (想结束杀软进程的,我们的程序运行在R3级别,杀软运行在R0级别,难度还是比较大的。杀软如果能被轻易搞掉他就不叫杀软了。)5、程序运行后检测是否有可移动设备插入(U盘),U盘插入,会有WM_DEVICECHANGE消息产生。 如果发现有U盘插入,获取U盘盘符,列出U盘根目录下存在的文件夹,将这些文件夹的属性设置为系统加隐藏属性。此时U盘中的目录(文件夹)将全部不可见,拷贝C:\\WINDOWS\\system32\\virus.exe到U盘,程序名为U盘下文件夹的文件名加上.exe。比如你的U盘本来有一个 Virus文件夹,现在我将其属性设为系统文件+隐藏。然后把C:\\WINDOWS\\system32\\virus.exe拷贝到U盘将其命名为Virus.exe 一般用户的【隐藏已知文件名的扩展名】是打着勾的。如果我们将我们的程序的图标改成文件夹的图标。是不会发现异常的。 当用户打开U盘,单击“文件夹”时,就启发了我们的程序,程序运行,自我复制。。。。。。。 这样就实现了我们的“木马”,通过U盘等可移动设备传播。。以下是代码:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!