惡意代碼的分類包括計算機病毒、蠕蟲、木馬、后門、Rootkit、流氓軟件、間諜軟件、廣告軟件、僵尸(bot) 、Exploit等等！上次我們分享了惡意代碼的第一部分，現(xiàn)在我們來分享剩下的部分，繼續(xù)來看看吧！

4、后門

后門常以套件的形式存在，用于將受害者信息發(fā)送給攻擊者或者傳輸惡意可執(zhí)行程序（下載器），最常用的功能是接收攻擊端傳送過來的命令，執(zhí)行某些操作。

Windows系統(tǒng)中有很多WIN32 API可以執(zhí)行CMD命令，例如system Winexe CreateProcess等。這里介紹通過匿名管道實現(xiàn)遠程CMD。

具體過程

1、初始化匿名管道的SECURITY_ATTRIBUTES結(jié)構(gòu)體，調(diào)用CreatePipe創(chuàng)建匿名管道，獲取管道數(shù)據(jù)讀取句柄和寫入句柄。

2、初始化STARTUPINFO結(jié)構(gòu)體，隱藏進程窗口，并把管道數(shù)據(jù)寫入句柄賦值給新進程控制臺窗口的緩存句柄。

3、調(diào)用CreateProcess函數(shù)創(chuàng)建進程，執(zhí)行CMD命令并調(diào)用WaitForSingleObject等待命令執(zhí)行完。

4、調(diào)用ReadFile根據(jù)匿名管道的數(shù)據(jù)讀取句柄從匿名管道的緩沖區(qū)中讀取數(shù)據(jù)。

5、關(guān)閉句柄，釋放資源。

源代碼：

5、文件監(jiān)控

全局鉤子可以實現(xiàn)系統(tǒng)監(jiān)控，Windows提供了一個文件監(jiān)控接口函數(shù)ReadDirectoryChangesW該函數(shù)可以對計算機上所有文件操作進行監(jiān)控。在調(diào)用。

ReadDirectoryChangesW設(shè)置監(jiān)控過濾條件之前，需要通過CreateFile函數(shù)打開監(jiān)控目錄，獲取監(jiān)控目錄的句柄，之后才能調(diào)用ReadDirectoryChangesW函數(shù)設(shè)置監(jiān)控過濾條件并阻塞，直到有滿足監(jiān)控過濾條件的操作，ReadDirectoryChangesW才會返回監(jiān)控數(shù)據(jù)繼續(xù)往下執(zhí)行。

具體過程

1、打開目錄，獲取文件句柄，調(diào)用CreateFile獲取文件句柄，文件句柄必須要有FILE_LIST_DIRECTORY權(quán)限。

2、調(diào)用ReadDirectoryChangesW設(shè)置目錄監(jiān)控。

3、判斷文件操作類型，只要有滿足過濾條件的文件操作，ReadDirectoryChangesW函數(shù)會立馬返回信息，并將其返回到輸出緩沖區(qū)中，而且返回數(shù)據(jù)是按結(jié)構(gòu)體FILE_NOTIFY_INFORMATION返回的。

調(diào)用一次ReadDirectoryChangesW函數(shù)只會監(jiān)控一次，要想實現(xiàn)持續(xù)監(jiān)控，則需要程序循環(huán)調(diào)用ReadDirectoryChangesW函數(shù)來設(shè)置監(jiān)控并獲取監(jiān)控數(shù)據(jù)，由于持續(xù)的目錄監(jiān)控需要不停循環(huán)調(diào)用ReadDirectoryChangesW函數(shù)進行設(shè)置監(jiān)控和獲取監(jiān)控數(shù)據(jù)，所以如果把這段代碼放在主線程中則會導(dǎo)致程序阻塞，為了解決主線程阻塞的問題，可以創(chuàng)建一個文件監(jiān)控子線程，把文件監(jiān)控的實現(xiàn)代碼放到子線程中。

源代碼：

6、自刪除

自刪除功能對病毒木馬來說同樣至關(guān)重要，它通常在完成目標(biāo)任務(wù)之后刪除自身，不留下任何蛛絲馬跡，自刪除的方法有很多種，常見的有利用MoveFileEx重啟刪除和利用批處理刪除兩種方式。

MoveFileEx重啟刪除

MOVEFILE_DELAY_UNTIL_REBOOT這個標(biāo)志只能由擁有管理員權(quán)限的程序或者擁有本地系統(tǒng)權(quán)限的程序使用，而且這個標(biāo)志不能MOVEFILE_COPY_ALLOWED一起使用，并且，刪除文件的路徑開頭需要加上“\?\"前綴。

源代碼：

利用批處理命令刪除

del %0

批處理命令會將自身批處理文件刪除而且不放進回收站。

具體流程

1 構(gòu)造自刪除批處理文件，該批處理文件的功能就是先利用choice或ping命令延遲一定的時間，之后才開始執(zhí)行刪除文件操作，最后執(zhí)行自刪除命令。

2 在程序中創(chuàng)建一個新進程并調(diào)用批處理文件，程序在進程創(chuàng)建成功后，立刻退出整個程序。

源代碼：

和大家共勉！小心使用這些代碼還是很有幫助的哦~

另外如果你想更好的提升你的編程能力，學(xué)好C語言C++編程！彎道超車，快人一步！筆者這里或許可以幫到你~

UP在主頁上傳了一些學(xué)習(xí)C/C++編程的視頻教程，有興趣或者正在學(xué)習(xí)的小伙伴一定要去看一看哦！會對你有幫助的~

分享（源碼、項目實戰(zhàn)視頻、項目筆記，基礎(chǔ)入門教程）

歡迎轉(zhuǎn)行和學(xué)習(xí)編程的伙伴，利用更多的資料學(xué)習(xí)成長比自己琢磨更快哦！

編程學(xué)習(xí)書籍分享：

編程學(xué)習(xí)視頻分享：