前言 可能大家想到病毒第一反应就是可能是用asm来编写或者是vbsript而高级语言如delphi就好象不能编写一样其实事实并不是这个样子的只要我们花一些时间照样可以写出简短而高效的病毒程序来一点也不输那些用汇编写出来的程序哦
一个病毒程序首先要短小我们的目标是经过压缩后控制在k以下用过delphi的朋友都知道如果在uses里面加入formsclasses等就会使目标文件非常的大所以在我们的程序里我们要尽可能的不用这些库我们只用windowswinsockshellapisysutils(这个里面包含了一些常用的函数比如对文件的操作对字符串的操作如果用自己的程序来代替目标文件会更加的小)
首先我们知道一个病毒程序一般都分下面三个模块
①保护模块
②感染模块
③发作模块
下面我们就从这三个模块开始分别实现他们的代码
一)保护模块
一般我们都是把自身拷贝到系统的一些目录里比如%systemroot%那么我们首先要取得这些特定的目录的路径sdk里面给我们提供了一个这样的函数GetSystemDirectory
UINT GetSystemDirectory(
LPTSTR lpBuffer // 存放返回的字符串的缓沖区
UINT uSize // 上面的缓沖去的长度
);
相关的函数还有GetWindowsDirectory可以得到%windows%的路径
得到了系统的目录后第二步就是拷贝文件了sdk为我们提供了一个函数copyfile
BOOL CopyFile(
LPCTSTR lpExistingFileName // 源文件的路径
LPCTSTR lpNewFileName // 目标文件的路径
BOOL bFailIfExists // 这是一个标志如果目标文件已经存在是否强制覆盖
);
拷贝文件完毕后我们来把这个文件设置为系统和隐藏那么一般情况是看不见该文件的除非选取查看所有文件以及显示受保护文件 同样介绍一个函数SetFileAttributes
BOOL SetFileAttributes(
LPCTSTR lpFileName // 需要设置的文件的文件名
DWORD dwFileAttributes // 设置的值
);
我们这里要设置为隐藏和系统那么就为第二个参数传递FILE_ATTRIBUTE_HIDDEN+FILE_ATTRIBUTE_SYSTEM
下面就是最重要的让该文件开机自动运行我们一般都是写注册表首先用RegOpenKey函数来打开一个键
LONG RegOpenKey(
HKEY hKey // 主键比如HKEY_LOCAL_MACHINE
LPCTSTR lpSubKey // 跟随的subkey
PHKEY phkResult // 存放函数返回这个打开的键的句柄
);
得到了HKEY后就可以用regsetvalueex来向该键写具体的值了
LONG RegSetvalueEx(
HKEY hKey // 这个就是刚才我们得到的句柄
LPCTSTR lpvalueName // 键名的地址
DWORD Reserved // 一般设置为
DWORD dwType // 我们写的键的类型字符串为REG_SZ
CONST BYTE *lpData // 键值的地址
DWORD cbData // 写入的键值的长度
);
[] []
![用Delphi来编写蠕虫病毒浅析[1]](/UploadFiles/9.jpg)