UC知道貌似这是一个宏病毒,但又像Visual Basic炼出来的!
来源:百度知道 编辑:UC知道 时间:2024/05/06 16:43:11
BASIC部分:
http://tieba.baidu.com/f?z=316429722&ct=335544320&lm=0&sc=0&rn=50&tn=baiduPostBrowser&word=basic&pn=0
shell部分:
[AutoRun]
Shellexecute=WScript.exe Owner.vbs "AutoRun"
shell\AutoRun=打开(&O)
shell\AutoRun\command=WScript.exe Owner.vbs "AutoRun"
shell\AutoRun1=资源管理器(&X)
shell\AutoRun1\command=WScript.exe Owner.vbs "AutoRun"
}
是不是我要“以其之道,还施彼身”也用Visual Basic编译一个杀毒程序?
http://tieba.baidu.com/f?z=316429722&ct=335544320&lm=0&sc=0&rn=50&tn=baiduPostBrowser&word=basic&pn=0
shell部分:
[AutoRun]
Shellexecute=WScript.exe Owner.vbs "AutoRun"
shell\AutoRun=打开(&O)
shell\AutoRun\command=WScript.exe Owner.vbs "AutoRun"
shell\AutoRun1=资源管理器(&X)
shell\AutoRun1\command=WScript.exe Owner.vbs "AutoRun"
}
是不是我要“以其之道,还施彼身”也用Visual Basic编译一个杀毒程序?
这个是Autorun.inf的文件内容
我看了下贴吧的源代码,确实是一个病毒代码,但是功能不强(因为我也写过类似的Auto病毒)
如果用VB写杀毒程序,我也是开发过的
思路是首先提权,使用OpenProcessToken,AdjustTokenPrivileges函数提权,之后用CreateToolshelp32snapshot,Process32First,Process32Next
Module32First,Module32Next这些API函数,得到当前进程模块,之后再用二进制方式打开这些文件,之后对比其中的代码与特征码,如果完全相同,则为病毒,之后用OpenProcess,TerminateProcess,CloseHandle等API函数终止进程,当然也可以用OpenThread,TerminateThread函数终止线程,达到内存扫描的目的
找到病毒之后,再用SetAttr函数设置该文件为vbNormal,用Kill函数删除该文件
这只是我开发专杀和杀毒软件的一个扫描内存模式,如果楼主有兴趣的话,也可以一起讨论!
真是高手! 虽然我也学VB但我一点都不懂啊!55555!