惡意代碼的分類包括計算機病毒、蠕蟲、木馬、后門、Rootkit、流氓軟件、間諜軟件、廣告軟件、僵尸(bot) 、Exploit等等，有些技術(shù)經(jīng)常用到，有的也是必然用到。

惡意代碼常見功能技術(shù)如下：進程遍歷，文件遍歷，按鍵記錄，后門，桌面截屏，文件監(jiān)控，自刪除，U盤監(jiān)控。知己知彼，百戰(zhàn)不殆。這里旨在給反病毒工程師提供參照。病毒作者請繞過。

進程遍歷

進程遍歷獲取計算機上所有進程的信息（用戶進程，系統(tǒng)進程），通常是為了檢索受害進程，檢測是否運行在虛擬機中，以及是否存在殺軟等，有時候反調(diào)試技術(shù)也會檢測進程名。所以在惡意代碼中進程遍歷很常見。

具體流程：

1、調(diào)用CreateToolhelp32Snapshot獲取所有進程的快照信息之所以稱為快照是因為保存的是之前的信息，該函數(shù)返回進程快照句柄。

2、調(diào)用Process32First獲取第一個進程的信息，返回的進程信息保存在PROCESSENTRY32結(jié)構(gòu)體中，該函數(shù)的第一個參數(shù)是CreateToolhelp32Snapshot返回的快照句柄。

3、循環(huán)調(diào)用Process32Next從進程列表中獲取下一個進程的信息，直到Process32Next函數(shù)返回FALSE，GetLastError的錯誤碼為ERROR_NO_MORE_FILES，則遍歷結(jié)束。

4、關(guān)閉快照句柄并釋放資源

遍歷線程和進程模塊的步驟和上面的相似，線程遍歷使用Thread32First和Thread32Next，模塊遍歷使用Module32First和Module32Next。

源碼實現(xiàn)：

文件遍歷

文件操作幾乎是所有惡意代碼必備的功能，木馬病毒竊取機密文件然后開一個隱秘端口，（之前在kali滲透群看到有人提問如何識別木馬，其實有一個簡單的方法，幾乎所有的木馬都要與攻擊者的主機通信的，查看打開了哪些奇怪的端口是一種方法）。

就算是再R0下，也經(jīng)常會創(chuàng)建寫入讀取文件，文件功能經(jīng)常用到。文件搜索功能主要是通過調(diào)用FindFirstFile和FindNextFile來實現(xiàn)。

具體流程

1、調(diào)用FindFirstFile函數(shù)，該函數(shù)接收文件路徑，第二個參數(shù)指向WIN32_FIND_DATA結(jié)構(gòu)的指針。若函數(shù)成功則返回搜索句柄。該結(jié)構(gòu)包含文件的名稱，創(chuàng)建日期，屬性，大小等信息。

該返回結(jié)構(gòu)中的成員dwFileAttributes為FILE_ATTRIBUTE_DIRECTORY時表示返回的是一個目錄，否則為文件，根據(jù)cFileName獲取搜索到的文件名稱。如果需要重新對目錄下的所有子目錄文件都再次進行搜索的話，則需要對文件屬性進行判斷。若文件屬性是目錄，則繼續(xù)遞歸搜索，搜索其目錄下的目錄和文件。

2、調(diào)用FindNextFile搜索下一個文件，根據(jù)返回值判斷是否搜索到文件，若沒有則說明文件遍歷結(jié)束。

3、搜索完畢后，調(diào)用FindClose函數(shù)關(guān)閉搜索句柄，釋放資源緩沖區(qū)資源。

源碼實現(xiàn)：

按鍵記錄

收集用戶的所有按鍵信息，分辨出哪些類似于賬號，密碼等關(guān)鍵信息進行利用，竊取密碼，這里用原始輸入模型直接從輸入設(shè)備上獲取數(shù)據(jù)，記錄按鍵信息。

要想接收設(shè)備原始輸入WM_INPUT消息，應(yīng)用程序必須首先使用RegisterRawInputDevice注冊原始輸入設(shè)備，因為在默認情況下，應(yīng)用程序不接受原始輸入。

具體流程

1、注冊原始輸入設(shè)備

一個應(yīng)用程序必須首先創(chuàng)建一個RAWINPUTDEVICE結(jié)構(gòu)，這個結(jié)構(gòu)表明它所希望接受設(shè)備的類別，再調(diào)用RegisterRawInputDevices注冊該原始輸入設(shè)備。將RAWINPUTDEVICE結(jié)構(gòu)體成員dwFlags的值設(shè)置為RIDEV_INPUTSINK,即使程序不處于聚焦窗口，程序依然可以接收原始輸入。

2、獲取原始輸入數(shù)據(jù)

消息過程中調(diào)用GetInputRawData獲取設(shè)備原始輸入數(shù)據(jù)。在WM_INPUT消息處理函數(shù)中，參數(shù)lParam存儲著原始輸入的句柄。此時可以直接調(diào)用

GetInputRawData函數(shù)，根據(jù)句柄獲取RAWINPUT原始輸入結(jié)構(gòu)體的數(shù)據(jù)。

dwType表示原始輸入的類型，RIM_TYPEKEYBOARD表示是鍵盤的原始輸入，Message表示相應(yīng)的窗口消息。WM_KEYBOARD表示普通按鍵消息，WM_SYSKEYDOWN表示系統(tǒng)按鍵消息，VKey存儲鍵盤按鍵數(shù)據(jù)。

3、保存按鍵信息

GetForegroundWindow獲取按鍵窗口的標題，然后調(diào)用GetWindowText根據(jù)窗口句柄獲取標題，存儲到本地文件。

源碼實現(xiàn)：

惡意代碼的存在不是由于黑客之類的手段，主要還是我們開發(fā)過程中很多情況會用到這樣的技術(shù)，所以大家請利用技術(shù)做正確的事情！

另外，對于編程學(xué)習(xí)的小伙伴，如果你想更好的提升你的編程核心能力（內(nèi)功）不妨從現(xiàn)在開始！

微信公眾號：C語言編程學(xué)習(xí)基地

C語言零基礎(chǔ)入門教程（83集全）

整理分享（多年學(xué)習(xí)的源碼、項目實戰(zhàn)視頻、項目筆記，基礎(chǔ)入門教程）

歡迎轉(zhuǎn)行和學(xué)習(xí)編程的伙伴，利用更多的資料學(xué)習(xí)成長比自己琢磨更快哦！

編程學(xué)習(xí)書籍分享：

粉絲編程交流：