惡意代碼的分類包括計(jì)算機(jī)病毒、蠕蟲、木馬、后門、Rootkit、流氓軟件、間諜軟件、廣告軟件、僵尸(bot) 、Exploit等等，有些技術(shù)經(jīng)常用到，有的也是必然用到。

惡意代碼常見功能技術(shù)如下：進(jìn)程遍歷，文件遍歷，按鍵記錄，后門，桌面截屏，文件監(jiān)控，自刪除，U盤監(jiān)控。知己知彼，百戰(zhàn)不殆。這里旨在給反病毒工程師提供參照。

一、進(jìn)程遍歷

進(jìn)程遍歷獲取計(jì)算機(jī)上所有進(jìn)程的信息（用戶進(jìn)程，系統(tǒng)進(jìn)程），通常是為了檢索受害進(jìn)程，檢測(cè)是否運(yùn)行在虛擬機(jī)中，以及是否存在殺軟等，有時(shí)候反調(diào)試技術(shù)也會(huì)檢測(cè)進(jìn)程名。所以在惡意代碼中進(jìn)程遍歷很常見。

具體流程：

1、調(diào)用CreateToolhelp32Snapshot獲取所有進(jìn)程的快照信息之所以稱為快照是因?yàn)楸４娴氖侵暗男畔?，該函?shù)返回進(jìn)程快照句柄。

2、調(diào)用Process32First獲取第一個(gè)進(jìn)程的信息，返回的進(jìn)程信息保存在ProcESSENTRY32結(jié)構(gòu)體中，該函數(shù)的第一個(gè)參數(shù)是CreateToolhelp32Snapshot返回的快照句柄。

3、循環(huán)調(diào)用Process32Next從進(jìn)程列表中獲取下一個(gè)進(jìn)程的信息，直到Process32Next函數(shù)返回FALSE，GetLastError的錯(cuò)誤碼為ERROR_NO_MORE_FILES，則遍歷結(jié)束。

4、關(guān)閉快照句柄并釋放資源

遍歷線程和進(jìn)程模塊的步驟和上面的相似，線程遍歷使用Thread32First和Thread32Next，模塊遍歷使用Module32First和Module32Next。

源碼實(shí)現(xiàn)：

二、文件遍歷

文件操作幾乎是所有惡意代碼必備的功能，木馬病毒竊取機(jī)密文件然后開一個(gè)隱秘端口，（之前在kali滲透群看到有人提問如何識(shí)別木馬，其實(shí)有一個(gè)簡(jiǎn)單的方法，幾乎所有的木馬都要與攻擊者的主機(jī)通信的，查看打開了哪些奇怪的端口是一種方法）。

就算是再R0下，也經(jīng)常會(huì)創(chuàng)建寫入讀取文件，文件功能經(jīng)常用到。文件搜索功能主要是通過調(diào)用FindFirstFile和FindNextFile來實(shí)現(xiàn)。

具體流程

1、調(diào)用FindFirstFile函數(shù)，該函數(shù)接收文件路徑，第二個(gè)參數(shù)指向WIN32_FIND_DATA結(jié)構(gòu)的指針。若函數(shù)成功則返回搜索句柄。該結(jié)構(gòu)包含文件的名稱，創(chuàng)建日期，屬性，大小等信息。

該返回結(jié)構(gòu)中的成員dwFileAttributes為FILE_ATTRIBUTE_DIRECTORY時(shí)表示返回的是一個(gè)目錄，否則為文件，根據(jù)cFileName獲取搜索到的文件名稱。如果需要重新對(duì)目錄下的所有子目錄文件都再次進(jìn)行搜索的話，則需要對(duì)文件屬性進(jìn)行判斷。若文件屬性是目錄，則繼續(xù)遞歸搜索，搜索其目錄下的目錄和文件。

2、調(diào)用FindNextFile搜索下一個(gè)文件，根據(jù)返回值判斷是否搜索到文件，若沒有則說明文件遍歷結(jié)束。

3、搜索完畢后，調(diào)用FindClose函數(shù)關(guān)閉搜索句柄，釋放資源緩沖區(qū)資源。

源代碼：

三、按鍵記錄

收集用戶的所有按鍵信息，分辨出哪些類似于賬號(hào)，密碼等關(guān)鍵信息進(jìn)行利用，竊取密碼，這里用原始輸入模型直接從輸入設(shè)備上獲取數(shù)據(jù)，記錄按鍵信息。

要想接收設(shè)備原始輸入WM_INPUT消息，應(yīng)用程序必須首先使用RegisterRawInputDevice注冊(cè)原始輸入設(shè)備，因?yàn)樵谀J(rèn)情況下，應(yīng)用程序不接受原始輸入。

具體流程

1、注冊(cè)原始輸入設(shè)備

一個(gè)應(yīng)用程序必須首先創(chuàng)建一個(gè)RAWINPUTDEVICE結(jié)構(gòu)，這個(gè)結(jié)構(gòu)表明它所希望接受設(shè)備的類別，再調(diào)用RegisterRawInputDevices注冊(cè)該原始輸入設(shè)備。將RAWINPUTDEVICE結(jié)構(gòu)體成員dwFlags的值設(shè)置為RIDEV_INPUTSINK,即使程序不處于聚焦窗口，程序依然可以接收原始輸入。

2、獲取原始輸入數(shù)據(jù)

消息過程中調(diào)用GetInputRawData?獲取設(shè)備原始輸入數(shù)據(jù)。在WM_INPUT消息處理函數(shù)中，參數(shù)lParam存儲(chǔ)著原始輸入的句柄。此時(shí)可以直接調(diào)用GetInputRawData?函數(shù)，根據(jù)句柄獲取RAWINPUT原始輸入結(jié)構(gòu)體的數(shù)據(jù)。

dwType表示原始輸入的類型，?RIM_TYPEKEYBOARD?表示是鍵盤的原始輸入，Message表示相應(yīng)的窗口消息。?WM_KEYBOARD?表示普通按鍵消息，?WM_SYSKEYDOWN?表示系統(tǒng)按鍵消息，VKey存儲(chǔ)鍵盤按鍵數(shù)據(jù)。

3、保存按鍵信息

GetForegroundWindow?獲取按鍵窗口的標(biāo)題，然后調(diào)用?GetWindowText?根據(jù)窗口句柄獲取標(biāo)題，存儲(chǔ)到本地文件。

源碼：

以上就是本次分享，下一節(jié)筆者會(huì)將下一部分惡意代碼發(fā)出來，小伙伴可以持續(xù)關(guān)注哦~

另外如果你想更好的提升你的編程能力，學(xué)好C語言C++編程！彎道超車，快人一步！筆者這里或許可以幫到你~

UP在主頁上傳了一些學(xué)習(xí)C/C++編程的視頻教程，有興趣或者正在學(xué)習(xí)的小伙伴一定要去看一看哦！會(huì)對(duì)你有幫助的~

分享（源碼、項(xiàng)目實(shí)戰(zhàn)視頻、項(xiàng)目筆記，基礎(chǔ)入門教程）

歡迎轉(zhuǎn)行和學(xué)習(xí)編程的伙伴，利用更多的資料學(xué)習(xí)成長(zhǎng)比自己琢磨更快哦！

編程學(xué)習(xí)書籍分享：

編程學(xué)習(xí)視頻分享：