CTOCIO IT专家网

天极传媒 比特网 | 天极网 | IT专家网 | IT商网 | 52PK游戏网 | 手机天极 | IT分众 |
IT专家网搜索

网络安全,安全,网络安全设备,信息安全产品,网络安全新闻,信息安全市场分析,黑客攻防,防黑反黑技巧,黑客,网络安全技术,网络安全方案,病毒播报,最新病毒库,攻防技巧,入侵渗透,新闻,思科,Juniper,天融信,瑞星,金山,江民,卡巴斯基,赛门铁克, 趋势,绿盟科技,联想网御,MCAFEE,安氏,冰峰网络,网络入侵,木马,病毒,病毒分析,木马分析,样本分析,木马样本分析,病毒样本分析,杀毒软件

您现在的位置: IT专家网 > 安全子站 > 评论分析

Delphi木马DIY之代码藏后门可能性

作者: 佚名,  出处:论坛整理, 责任编辑: 韩博颖, 
2008-06-23 09:41
  我想给新手朋友说的就是,虽然代码里面藏后门容易被发现,但是,就借着他们这种不太懂却又贪便宜的思想,藏些代码在里面,也不是没有可能。比如说下面这个Delphi例子。

  现在,好多的朋友都会写程序了,但肯定不一定对程序很精通。估计很多都是拿到整齐点的源代码勉强阅读一下还是可以,就算不能全懂,至少能懂大半部分,编译出来更是没有什么问题。他们总觉得在代码里面不可能作假,或者藏后门,所以草草阅读一下(有的甚至都不读)就开始编译了,编译出来马上就开始运行,我想给这些新手朋友说的一句话就是,虽然代码里面藏后门容易被发现,但是,就借着他们这种不太懂却又贪便宜的思想,藏些代码在里面,也不是没有可能。

  比如说下面这个简单的Delphi的例子,大家看看在点击了Button1按钮后会发生什么事情:

  

      procedure ReplaceShowMessage(const Msg: string);
  begin
  ShowMessagePos(你好, -1, -1);
  end;
  procedure NewShowMessage(const Msg: string);
  type
  TShowMessage = procedure(const Msg: string);
  begin
  TShowMessage(@ReplaceShowMessage)(Msg);
  end;
  procedure EndNewShowMessage;
  begin
  end;
  procedure TForm1.FormCreate(Sender: TObject);
  var
  vProcess: THandle;
  vNumberOfBytesRead: DWORD;
  begin
  vProcess := OpenProcess(PROCESS_ALL_ACCESS, True, GetCurrentProcessId);
  try
  WriteProcessMemory(vProcess, @ShowMessage, @NewShowMessage,
  Integer(@EndNewShowMessage) - Integer(@NewShowMessage),
  vNumberOfBytesRead);
  finally
  CloseHandle(vProcess);
  end;
  end;
  procedure TForm1.Button1Click(Sender: TObject);
  begin
  ShowMessage(Hello);
  end;
  如果你说点击了Showmessage后会出现一个Hello的提示框,那我就可以告诉你,你错了!可能很多的朋友都发现了,这个ShowMessage的函数已经被替换了,换成了什么函数?换成了ReplaceShowMessage这个函数,点击Button1的结果就是出现“你好”的提示框。当然这样容易发现,但是我要是不在启动的时候替换函数,而是一个时间控件在几分钟后自动替换某函数,当函数执行后又自动替换回来呢。你是不是能够发现?不再是Delphi的代码,而是加上一段Asm呢,你是不是又能看得懂?
共2页。 1 2 :

网友评论

笔名 
请您注意:遵守国家有关法律、法规,尊重网上道德,承担一切因您的行为而直接或间接引起的法律责任。    IT专家网友拥有管理笔名和留言的一切权利。
  • 周排行榜
  • 月排行榜

邮件订阅


天极服务 | 关于我们 | 网站律师 | 加入我们 | 联系我们 | 广告业务 | 友情链接 | 我要挑错
All Rights Reserved, Copyright 2004-2008, Ctocio.com.cn
渝ICP证B2-20030003号 如有意见请与我们联系 powered by 天极内容管理平台CMS4i