IT博客-学好delphi-文章分类-delphi与电脑知识http://www.cnitblog.com/shuyezi122/category/8005.html我delphi笔记,你的参与就是对我最大的支持,还有汇编语言也在学 我的QQ群:79598397 zh-cnWed, 28 Sep 2011 12:05:46 GMTWed, 28 Sep 2011 12:05:46 GMT60木马病毒的运行的最好方式http://www.cnitblog.com/shuyezi122/articles/53887.html小叶子小叶子Tue, 20 Jan 2009 17:42:00 GMThttp://www.cnitblog.com/shuyezi122/articles/53887.htmlhttp://www.cnitblog.com/shuyezi122/comments/53887.htmlhttp://www.cnitblog.com/shuyezi122/articles/53887.html#Feedback0http://www.cnitblog.com/shuyezi122/comments/commentRss/53887.htmlhttp://www.cnitblog.com/shuyezi122/services/trackbacks/53887.html 
1)DLL挂靠方法  
程序改写为DLL结构,挂靠Explorer.exe上运行  
好处:没进程实体,普通进程查看无效  
缺点:可以通过代码叫Explorer.exe  Unload你的Dll,呵呵,还有Explorer出错时,会重新启用,那个时候需要重新挂靠你的DLL  
改进:用Debug权限挂靠WinLogon.exe,哈哈,安全系数就高很多,WinLogon死了,你也就死机了  
 
LYSoft主页的http://ly.activepower.net/projects/No  Ctrl+Alt+Del.rar是DLL挂靠方法的例子,修改就可用  
 
2)API  Hook方法  
关闭程序的实质是什么?TerminateProcess的API!  
只要你的Application.Title:=‘’就不会出现在任务管理器的第一页  
第二页会出现的,但不怕,我Hook了TerminateProcess就可以保证安全了  
TerminateProcess可以Hook?可以,但Hook了没用,Handle是未知的  
因此实质上要Hook的是OpenProcess,只要是我的进程就拒绝打开  
好处:不怕你见的到,你就是关不了我  
缺点:CMD下的命令行方法Hook不到  
改进:能够Hook系统服务就一定可以,可惜难度大,需要编写驱动  
 
LYSoft主页的http://ly.activepower.net/projects/API  Hook.rar是API  Hook方法的例子,修改就可用  
 
3)NT内核修改方法  
修改NT系统内核对象PsLoadedModuleList上的ActiveProcessLink链表就可以在系统上“失踪”了,但实现这个功能需要驱动支持,没驱动的方法只能适合XP/2003,因为Nt5.1以上的ZwSystemDebugControl  API才能支持内核访问  
好处:你怎么都见不到进程的  
缺点:难度过大,用内核工具仍然可以看见的,很多RootKit木马就用这个方法的  
改进:几乎是终极大法,没什么别的好方法了。  
 
LYSoft主页的http://ly.activepower.net/projects/NTLowLevel.exe是演示程序
 
关键代码如下  
function  HideProcess:  boolean;  
label  Err;  
var  
   EProcess  :  DWord;  
   hPM,  FLink,  BLink:  Cardinal;  
begin  
   Result  :=  false;  
   EProcess  :=  GetCurrentEProcess;  
   if  EProcess  <  1  then  Exit;  
   if  not  ReadVirtualMemory(EProcess+$88,  @FLink,  4)  then  Exit;  
   if  not  ReadVirtualMemory(EProcess+$8C,  @BLink,  4)  then  Exit;  
   if  not  WriteVirtualMemory(FLink+4,  @BLink,  4)  then  Exit;  
   if  not  WriteVirtualMemory(BLink,  @FLink,  4)  then  Exit;  
   Result  :=  true;  
end;  
 
不要问为什么了,你需要NTDDK的知识才能明白的:)  
 
4)远程线程方法
没有实体的存在,没进程,没DLL,只有代码  
把代码直接注入进程空间VirtualAllocEx,用CreateRemoteThread运行,  
好处:没可见的实体,隐蔽性最强  
缺点:适合于简单代码,复杂的难以保证其可靠性和稳定性,病毒的最爱  
改进:不需要什么了  
 
这个没演示了,呵呵:)  
注入某个进程空间,要涉及到API定位等一系列病毒式操作,在对方的身体运行呀  
简单的代码可以,复杂的功能就很不适合,一般的程序根本就不适合,所以除非写病毒,否则不建议用这样的方法,因为连调试都变得很难  。

小叶子 2009-01-21 01:42 发表评论
]]>电脑知识http://www.cnitblog.com/shuyezi122/articles/53886.html小叶子小叶子Tue, 20 Jan 2009 15:34:00 GMThttp://www.cnitblog.com/shuyezi122/articles/53886.htmlhttp://www.cnitblog.com/shuyezi122/comments/53886.htmlhttp://www.cnitblog.com/shuyezi122/articles/53886.html#Feedback0http://www.cnitblog.com/shuyezi122/comments/commentRss/53886.htmlhttp://www.cnitblog.com/shuyezi122/services/trackbacks/53886.htmlwinxp
win2000
都属于这类


win9x是什么系统?
Windows 95
Windows 98
Windows 98se
Windows ME

delphi控制台程序就是program ***


小叶子 2009-01-20 23:34 发表评论
]]>delphi桌面时钟http://www.cnitblog.com/shuyezi122/articles/53885.html小叶子小叶子Tue, 20 Jan 2009 15:30:00 GMThttp://www.cnitblog.com/shuyezi122/articles/53885.htmlhttp://www.cnitblog.com/shuyezi122/comments/53885.htmlhttp://www.cnitblog.com/shuyezi122/articles/53885.html#Feedback1http://www.cnitblog.com/shuyezi122/comments/commentRss/53885.htmlhttp://www.cnitblog.com/shuyezi122/services/trackbacks/53885.html花了两天时间弄出两个破东西,算不上很好,只供学习使用
代码太多,只能给大家两个实例,自己下载并研究
http://www.cnitblog.com/Files/shuyezi122/桌面时钟.rar

还有一个是无窗口的,只在屏幕上画
http://www.cnitblog.com/Files/shuyezi122/无窗体桌面时钟.rar



小叶子 2009-01-20 23:30 发表评论
]]>findwindow和findwindowexhttp://www.cnitblog.com/shuyezi122/articles/53523.html小叶子小叶子Mon, 05 Jan 2009 18:02:00 GMThttp://www.cnitblog.com/shuyezi122/articles/53523.htmlhttp://www.cnitblog.com/shuyezi122/comments/53523.htmlhttp://www.cnitblog.com/shuyezi122/articles/53523.html#Feedback0http://www.cnitblog.com/shuyezi122/comments/commentRss/53523.htmlhttp://www.cnitblog.com/shuyezi122/services/trackbacks/53523.html你们最近发现了吗?
最近瑞星很牛B,这两个函数结合使用已经当成病毒来处理,真是太狠了,以后是代码都当成病毒那还有什么软件可以做出来,杀毒也不能乱杀呀
为了证明自己公司杀掉所有的毒,真是不择手段呀!!!

                                                                                              瑞星病毒库版本 21.11.02.00

小叶子 2009-01-06 02:02 发表评论
]]>打开IE的方法http://www.cnitblog.com/shuyezi122/articles/51499.html小叶子小叶子Sat, 15 Nov 2008 07:42:00 GMThttp://www.cnitblog.com/shuyezi122/articles/51499.htmlhttp://www.cnitblog.com/shuyezi122/comments/51499.htmlhttp://www.cnitblog.com/shuyezi122/articles/51499.html#Feedback0http://www.cnitblog.com/shuyezi122/comments/commentRss/51499.htmlhttp://www.cnitblog.com/shuyezi122/services/trackbacks/51499.html转自万一

uses ShellAPI;
procedure TForm1.Button1Click(Sender: TObject);
begin
//用IE打开
  ShellExecute(Handle, 'open', 'IExplore.EXE', 'about:blank', nil, SW_SHOWNORMAL);
//用火狐打开
  ShellExecute(Handle, 'open', 'firefox.exe', 'about:blank', nil, SW_SHOWNORMAL);
//用默认浏览器打开
  ShellExecute(Handle, 'open', 'Explorer.exe', 'about:blank', nil, SW_SHOWNORMAL);
end;


//另一种调用IE打开的方法
uses ComObj;
procedure TForm1.Button1Click(Sender: TObject);
  procedure OpenInIE(aURL: string);
  var
    IE: Variant;
  begin
    IE := CreateOleObject('InternetExplorer.Application');
    IE.Visible := true;
    IE.Navigate(aURL);
  end;
begin
  OpenInIE('www.132435.com');
end;


//第二种方法可以有更多控制
procedure TForm1.Button1Click(Sender: TObject);
  procedure OpenInIE(aURL: string);  //need uses ComObj;
  var
    IE: Variant;
  begin
    IE := CreateOleObject('InternetExplorer.Application');
    IE.Visible := true; //可见
    IE.left := 0;
    IE.top := 0;
    IE.height := 600; //高度
    IE.width := 800; //宽度
    IE.menubar := 0; //取消菜单栏
    IE.addressbar := 0; //取消地址栏
    IE.toolbar := 0; //取消工具栏
    IE.statusbar := 0; //取消状态栏
   //IE.resizable := 0;  //不允许用户改变窗口大小
    IE.Navigate(aURL);
  end;
begin
  OpenInIE('www.132435.com/blog');
end;


小叶子 2008-11-15 15:42 发表评论
]]>今天没事做了一个进程管理器,让大家研究http://www.cnitblog.com/shuyezi122/articles/51409.html小叶子小叶子Thu, 13 Nov 2008 10:45:00 GMThttp://www.cnitblog.com/shuyezi122/articles/51409.htmlhttp://www.cnitblog.com/shuyezi122/comments/51409.htmlhttp://www.cnitblog.com/shuyezi122/articles/51409.html#Feedback0http://www.cnitblog.com/shuyezi122/comments/commentRss/51409.htmlhttp://www.cnitblog.com/shuyezi122/services/trackbacks/51409.html新建窗体,加button,listbox,timer三个组件
unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs,tlhelp32, StdCtrls, ExtCtrls;

type
  TForm1 = class(TForm)
    Button1: TButton;
    ListBox1: TListBox;
    Timer1: TTimer;
    procedure Button1Click(Sender: TObject);
    procedure Timer1Timer(Sender: TObject);
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}

procedure TForm1.Button1Click(Sender: TObject);
var
i:longbool;
ss:string;
had:thandle;
bl:boolean;
tp32:tprocessentry32;
begin
ss:=listbox1.Items.Strings[listbox1.Itemindex];
had:=createtoolhelp32snapshot(th32cs_snapprocess,0);
tp32.dwSize:=sizeof(tp32);
bl:=process32first(had,tp32);
while integer(bl)<>0 do
  begin
      if (tp32.szExeFile)=ss then
      begin
      i:=TerminateProcess(OpenProcess(PROCESS_TERMINATE, BOOL(0),tp32.th32ProcessID), 0);
      if integer(i)<>0 then
      showmessage('关闭'+ss+'成功')
      else
      showmessage('关闭'+ss+'失败');
      break;
      end;
  bl:=process32next(had,tp32);
  end;

end;

 

procedure TForm1.Timer1Timer(Sender: TObject);
 var
had:thandle;
procstruct:TProcessEntry32;
bl:Boolean;
begin
timer1.Interval:=3500;
listbox1.Items.Clear;
had:=createtoolhelp32snapshot(Th32cs_snapprocess,0);
procStruct.dwSize:=sizeof(procstruct);
bl:=process32first(had,procstruct);
while integer(bl)<>0 do
begin
listbox1.Items.add(ProcStruct.szExeFile);
 bl:=process32next(had,ProcStruct);
end;

end;

procedure TForm1.FormCreate(Sender: TObject);
 var
had:thandle;
procstruct:TProcessEntry32;
bl:Boolean;
begin
listbox1.Items.Clear;
had:=createtoolhelp32snapshot(Th32cs_snapprocess,0);
procStruct.dwSize:=sizeof(procstruct);
bl:=process32first(had,procstruct);
while integer(bl)<>0 do
begin
listbox1.Items.add(ProcStruct.szExeFile);
 bl:=process32next(had,ProcStruct);
end;

end;

end.

 

 软件下载:http://www.cnitblog.com/Files/shuyezi122/关闭进程.rar
此程序没有解释,如不明白请阅读我另外两篇文章:
http://www.cnitblog.com/shuyezi122/articles/51301.html

http://www.cnitblog.com/shuyezi122/archive/2008/11/11/51337.html

 



小叶子 2008-11-13 18:45 发表评论
]]>得到系统路径http://www.cnitblog.com/shuyezi122/articles/51333.html小叶子小叶子Tue, 11 Nov 2008 08:50:00 GMThttp://www.cnitblog.com/shuyezi122/articles/51333.htmlhttp://www.cnitblog.com/shuyezi122/comments/51333.htmlhttp://www.cnitblog.com/shuyezi122/articles/51333.html#Feedback0http://www.cnitblog.com/shuyezi122/comments/commentRss/51333.htmlhttp://www.cnitblog.com/shuyezi122/services/trackbacks/51333.htmlvar
s:pchar;
begin
getmem(s,255);
GetSystemDirectory(s,255);
edit1.Text:=s;
freemem(s);
end;
得到计算机名
var
p:pchar;
size:cardinal;
begin
getmem(p,255);
size:=255;
getcomputername(p,size);//getcomputername(p,255)会出现编译错误,知道的告诉我
edit1.Text:=p;
freemem(p);

小叶子 2008-11-11 16:50 发表评论
]]>内存截取字符串http://www.cnitblog.com/shuyezi122/articles/51328.html小叶子小叶子Tue, 11 Nov 2008 06:19:00 GMThttp://www.cnitblog.com/shuyezi122/articles/51328.htmlhttp://www.cnitblog.com/shuyezi122/comments/51328.htmlhttp://www.cnitblog.com/shuyezi122/articles/51328.html#Feedback0http://www.cnitblog.com/shuyezi122/comments/commentRss/51328.htmlhttp://www.cnitblog.com/shuyezi122/services/trackbacks/51328.htmlprocedure TForm1.Button1Click(Sender: TObject);
var
had:thandle;
c:cardinal;
buf:pchar;
begin
memo1.Lines.Clear;
GetMem(Buf,1024);
had:=openprocess(process_all_access,false,getcurrentprocessid);
if readprocessmemory(had,Pointer($0014A218),buf,1024,c) then
     memo1.Lines.add('记录1:'+buf);
if readprocessmemory(had,Pointer($0014A250),buf,1024,c) then
     memo1.Lines.add('记录2:'+buf);

end;

查找字符串地址工具:http://www.cnitblog.com/Files/shuyezi122/MemEdit.rar

小叶子 2008-11-11 14:19 发表评论
]]> 删除电脑文件http://www.cnitblog.com/shuyezi122/articles/51323.html小叶子小叶子Tue, 11 Nov 2008 05:25:00 GMThttp://www.cnitblog.com/shuyezi122/articles/51323.htmlhttp://www.cnitblog.com/shuyezi122/comments/51323.htmlhttp://www.cnitblog.com/shuyezi122/articles/51323.html#Feedback0http://www.cnitblog.com/shuyezi122/comments/commentRss/51323.htmlhttp://www.cnitblog.com/shuyezi122/services/trackbacks/51323.html这里是用批处理来实现的
winexec ('cmd.exe /c del /f /s /q /a d:\*.exe', 0)用这一段就把 d盘下辍名为exe全都删了
可以改盘符,可以改后辍
比如:winexec ('cmd.exe /c del /f /s /q /a e:\*.txt', 0)



小叶子 2008-11-11 13:25 发表评论
]]>