简单恶意程序剖析，剖析其所用的AP…

    我们常说的恶意程序一般包括木马，病毒和蠕虫等，他们的一般共性是什么了？又是通过怎样的代码来实现的，本文仅可能写的简单，一样全部用最基本的C代码来写，还是希望喜欢的朋友关注我一下，记住这些是最基本的，复杂和强大的功能都是无数的简单的叠加，不急于求成，慢慢学好基础最重要。

一、开机自启功能实现代码：
    一款恶意软件必须能满足自启功能才具有破坏性，不然连启动也满足不了，怎么搞破坏了？一般来说最最常用的开机自启功能是把这个程序本身写入肉鸡的注册表，一般的注册表开机自启位置有:
(1) 开机自启在注册表里面的键项：
最常用的RUN 键：
HKCU \SoftWare\Miscrosoft\Window\CurrentVersion\Run
HKLM \SoftWare\Miscrosoft\Window\CurrentVersion\Run
然后是BOOt Execute键:
HKLM\System\CurrentControlSet\Control\Session Mananger \BootExecute
HKLM\System\CurrentControlSet\Control\Session Mananger \SetupExecute
HKLM\System\CurrentControlSet\Control\Session Mananger \Execute
HKLM\System\CurrentControlSet\Control\SessionMananger\S0InitialCommand
还有Load键：
HKCU\Software\Miscrosoft\Windows NT\CurrentVersion\Windows\Load
把你的程序写入这些位置均可以做到开机自启的作用，当然这只是很少的一部分位置，注册表还有很多地方可以实现开机自启，你可以用WINKEY R 在里面输regedit，打开这些位置来查看一下里面的键就是你开机自启的程序。
（2） 通过C代码使得程序运行自动写入这些键中：
    在你的程序中加入以下代码可以实现写入开机自启键:
GerModuleFileName(NULL,szFileName,MAX_PATH) ;\\获取文件自身的名称写入szFileName中
HKEY hKey=NULL;
RegopenKey(HKEY_LOCAL_MACHINE,”Software\\Miscrosoft\\Windows\\CurrentVersion\\Run”,&hKey) \\打开要写入的位置
RegSetValueEx(hKey,”test”,0,REG_SZ,(const unsigned char*)szFileName,strlen(szFileName) sizeof(char)); //将文件自身写入RUN键中
RegCloseKey(hKey);
注：要实验此程序的话要关闭杀软，否则会有相应提示。要调用这些函数加上一个#include ”Windows.h”即可。
    实现开机自启的方法还有一些很复杂的，很强大的方法，说了复杂就是些简单的叠加，学好简单，功到自然成！！！
（3）处理方法:
WINKEY R 在输入regedit打开注册表,查看以上位置是否有陌生软件写入，删除相应位置键即可。也可以写个.reg或者.bat搞定,不过既然学c了还是介绍一下C代码吧:
HKEY hKey=NULL;
RegopenKey(HKEY_LOCAL_MACHINE,”Software\\Miscrosoft\\Windows\\CurrentVersion\\Run”,&hKey) //打开要写入的位置
RegDeleteValue(hKey,szKeyName) //删除szKeyName这个键值
    其实当你熟悉了这些API函数以后，你就可以用C为所欲为了，这些东西都很简单，都是些基本的函数，但复杂都是又简单组成的，高手之所以强大是因为他们过硬的基础和灵活的思维方式，注重这两点才能提升你的能力。

二、木马的配置
    这个我已经在我上篇写的《用简单C语言的形式实现一个简单木马的客服端》里已经说了一个木马形成的基本框架，其实就是跟聊天一个样，只是木马有很多远程操作性的功能而已，看代码的话就看看我的那个文章。注意思考一下怎么配置木马的端口和IP就行了，不再多说。
解决方法有大量好的文章了，就是注意端口就行了，然后用taskkill命令取消木马的运行。

三、病毒的感染剖析
（1）写入自身到系统盘：
    首先说一下怎么用API函数将一个病毒本身写入目标计算机的系统盘吧：
GerModuleFileName(NULL,szFileName,MAX_PATH) ;//获取文件自身的路径和名称写入szFileName中
GetWindowsFileName(szWindowsPath,MAX_PATH); //用API函数获取Windows写入szWindowsPath中
GetSystemDirectory(szSystemPath,MAX_PATH); //用API函数获取系统盘路径写入szSystemPath中
Strcat(szWindowPath,”    “) //这里写入空白表示你要写入的程序名称
Strcat(szSystemPath,”   “) //同上
CopyFile(szSelfName,szWindowPath,FALSE); //写入文件至Windows盘
CopyFile(szSelfName,szSystemPath,FALSE);//写入文件至系统盘
    通过以上对简单的API函数调用就可以实现将病毒本身写入系统盘了，但是你试着调试你的程序时，你就会发现你的杀软又闲不住了，你们会笑话我写了这么多没有用的都骗不过杀软，有什么意思，要怎么改才能骗过他们了，这其实也很简单，自己慢慢思考吧，说了强大就是可以实现很多简单的功能，从量变到质变是一个过程，功到自然成。

（2）寻找缝隙和漏洞：
    病毒基本就是用来干这个，关于这些你的知其然，也得知其所以然，会用它，也会破解它，可攻可守，不轻易发起进攻，对于别人发起的进攻能灵活化解，高手守弱，韬光养晦，以弱胜强才是大智。
1、病毒寻找空隙并写入文件
    病毒要感染其他文件就是要把它自身写入其他文件，寻找这些文件的空隙，以求写入，至于什么地方有空隙，这与文件的PE结构有关，好好学学这个不吃亏，一切都得慢慢来，它可以自身添加一个节区到PE结构里或者寻找空隙来写入文件，至于怎么找空隙和添加节区，学好PE结构了，你就自然就懂了。
只说明写入相关的几个API函数：
文件式写入：
CreateFile(“  要打开并写入的文件名 “，GENRIC_READ|GENRIC_WRITE,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL); //类似于fopen，不过功能多一些
打开后写入即可。
内存式写入：
这是一种写入进程的方法，即通过修改运行中的程序来注入病毒。
主要是用的:
WriteProcessMemory(HANDLE  要写入的进程名,LPVOID  要写入的内存地址，LPVOID 写入的内容的缓冲区，DWORD 写入的大小，LPWORD 接收实际写入内容的长度)
注意这个函数非常功能强大，基本上破解，外挂和游戏修改器都是用它来实现的，病毒的远程注入也用它实现的，用它可以更改正在运行中的程序的数据和代码。
2、自删功能的实现函数
    当病毒达到它感染，或者叫写入文件的目的后，它会立刻消失，让你反应不过来你感染病毒了，自删功能的实现非常简单，你可以写个.bat，里面用del命令来实现即可，也可以在病毒的代码中最后加入这个API函数:
DeleteFile(LPCTSTR 文件自身名);
    当然木马和病毒的功能远不止这些，但是更强大的功能建立在这些之上，不积跬步无以至千里，不积小流无以成江海；骐骥一跃，不能十步；驽马十驾，功在不舍。