1、程序运行后将自身复制到C:\\WINDOWS\\system32\\文件夹下，程序名为vrius.exe。

2、在注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 下写入键值，实现程序开机启动。

3、程序定时器每秒启发一次，如果发现，注册表，任务管理器被打开，立即将其关闭。
（可以使用驱动级反病毒辅助软件。比如冰刃，狙剑结束此程序进程，因为程序运行后就无法使用Windows任务管理器了）。

4、程序每秒枚举一次进程，如发现QQ进程，立即将其结束（无论是已登录还是正在登陆）。
（想结束杀软进程的，我们的程序运行在R3级别，杀软运行在R0级别，难度还是比较大的。杀软如果能被轻易搞掉他就不叫杀软了。）

5、程序运行后检测是否有可移动设备插入（U盘），U盘插入，会有WM_DEVICECHANGE消息产生。
如果发现有U盘插入，获取U盘盘符，列出U盘根目录下存在的文件夹，将这些文件夹的属性设置为系统加隐藏属性。此时U盘中的目录（文件夹）将全部不可见，拷贝C:\\WINDOWS\\system32\\virus.exe到U盘，程序名为U盘下文件夹的文件名加上.exe。比如你的U盘本来有一个
Virus文件夹，现在我将其属性设为系统文件+隐藏。然后把C:\\WINDOWS\\system32\\virus.exe拷贝到U盘将其命名为Virus.exe
一般用户的【隐藏已知文件名的扩展名】是打着勾的。如果我们将我们的程序的图标改成文件夹的图标。是不会发现异常的。
当用户打开U盘，单击“文件夹”时，就启发了我们的程序，程序运行，自我复制。。。。。。。
这样就实现了我们的“木马”，通过U盘等可移动设备传播。。

以下是代码：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课