xe在同一个目录下或者在System32目录下,只要运行一次Apple.exe便会修改注册表,在Run下面添加新键,实现每次开机的自动运行。整个木马并不具有任何的破坏性。要彻底删除它只须清除注册表中Run下面名为Apple的键,并通过此键的键值找到Apple.exe和Apple.dll,删除这两个文件即可。
下面介绍了基于钩子技术的木马的隐藏方法。
该木马程序有两个文件,Apple.dll和Apple.exe。要实现隐藏首先要将窗体设置成不显示Show Window,使Apple.exe不在任务栏中显示出来,然后实现在任务管理器中不显示Apple.exe。在Win9x/2000中,一般每个应用程序都要向系统申请注册成为一个服务进程,并且也是通过这个函数注销其服务进程来结束这个服务进程的运行。如果一个进程注册为一个服务进程,通过Ctrl+Alt+Del就可以在任务列表里看见该进程的标题。而如果一个进程运行了但没有向系统申请注册成为服务进程那么就不会在任务列表里显示。但是在XP系统中,这种方法不再可行,暂时没有找出完全隐藏exe的方法,所以尝试着把木马的主要功能模块都移到DLL中去,只要能够实现把DLL挂在其他的可运行程序下面,就可以实现木马的完全隐藏。
第三章 系统功能分析设计及实现
3. 1需求分析
输出:杀毒时,当系统发现有QQ运行时,弹出提示信息,询问用户是否要关闭QQ;当发现系统有木马时也要有相应的提示,询问用户是否要查杀木马。
性能:要求系统性能稳定,操作简单方便、响应快速,木马查杀过程会在面板上显示,出现异常时,要有控制,捕获异常。
功能:杀毒模块中,实现系统木马的查杀,有四个方面入手:内存,系统目录,注册表,硬盘,当发现QQ程序运行并在提示信息中选择关闭该程序,则可以看到进程列表中的QQ进程将会被关闭,如果发现木马的话,相应的木马进程将被关闭、文件将被删除,杀毒过程中,显示查杀进度;浏览模块中,当用户在"浏览"中选择好了木马查杀的路径之后,该路径会相应的出现在界面上的查杀路径中;停止模块只有在杀毒进行时才有效;进程管理模块,有刷新进程、结束进程、复制信息及自动刷
相关热词:delphi 木马 程序 设计 实现 delphi