procedure TForm1.Button1Click(Sender: TObject);
var
vHandle: THandle;
begin
vHandle := LoadLibrary('test.exe');
if GetProcAddress(vHandle, 'FuncTest') <> nil then
ShowMessage('欢迎讨论');
FreeLibrary(vHandle);
WinExec('test.exe', 0);
end;
var
vHandle: THandle;
begin
vHandle := LoadLibrary('test.exe');
if GetProcAddress(vHandle, 'FuncTest') <> nil then
ShowMessage('欢迎讨论');
FreeLibrary(vHandle);
WinExec('test.exe', 0);
end;
Caption := IntToStr(vHandle);
FreeLibrary(vHandle);
能不能再清楚点
就是一个文件具备双性质to milpas(我带着我的影子去流浪):
更名也可以,但要可以载入//测试代码如下
vHandle := LoadLibrary('test.exe');
Caption := IntToStr(vHandle); //可以载入(既:不为0)
FreeLibrary(vHandle);
WinExec('test.exe', 0); //可以执行
好久不见哦:-) ,不过很少见你发贴求答,呵呵^o^我想是你理解错了吧!发现它用自己覆盖了一些系统动态连接库
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄可能吗?.exe文件不可能覆盖.dll文件吧?!我想应该是使用了其它机制才对!比如说昨天,有一个无聊的人(OICQ:38056549)发封Email给我,附件中就是Virus
是木马!你也许可以从它的工作机制就发现点什么......
执行该文件后会产生两个文件!
rnudll32.exe --------- //呵呵,名字唬人到是可以 :-)
sysdll32.exe --------- //加上个sys也可以骗人哦 ^o^rnudll32.exe在一段时间内会检查sysdll32.exe是否存在if not FileExists('sysdll32.exe') then
begin
重新分娩一个sysdll32.exe;
运行sysdll32.exe;
end;照理说,rnudll32.exe要分娩sysdll32.exe,应该还有一个womb才对呀!不过我没兴趣找,好恶心哦。还有它还修改了注册表,n个地方,值得一提的是,
它修改了.txt文件的open .. command 如:c:\winnt\system32\rnudll32.exe %1呵呵,对你有没有半点帮助啊?!
病毒种类:蠕虫病毒
危害程度:
病毒简介:
这个病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOKEXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录,再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件,同时修改system.ini中的shell从shell=explorer.exe改为explorer.exeload.exe -dontrunold,使病毒在下次系统启动时仍然被激活。另外,在system目录下,病毒还会生成一个副本:riched20.dll。而riched20.dll目录在windows系统中就存在,而它就把它覆盖掉了。
而病毒复制到临时目录下的副本(有两个文件,文件名为???????.tmp.exe),病毒会在系统下次启动时将他们删除(修改wininit.ini文件)。
为了通过邮件将自己传播出去,病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文件,大小为79225字节,该文件已经用BASE64编码将病毒包含进去。然后,病毒就用取得的地址将带毒邮件发送出去。
病毒的第二种传播途径就是用跟CodeBlue极其相似的方法,使用了IIS的UNICODE漏洞。
病毒的第三种传播途径是通过局域网的共享,传播到其它windows系统下。
另外,病毒运行时会利用ShellExcute执行系统中的一些命令如:NET.EXE、USER.EXE、SHARE.EXE等命令,将Guest用户添加到Guests、Administrators组(针对NT/2000/XP),并激活Guest用户。还将C盘根目录共享出来。
riched20.dll目录在windows系统中就存在,而它就把它覆盖掉了。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
riched20.dll目录在windows系统中就存在,而它就把它覆盖掉了。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 你是真不知道还是假不知道啊?!
你是不是在考我们啊
谢谢你认真地回复我的帖子的
program Project1;function FuncTest: Boolean; stdcall;
begin
//请看看这段代码
end;exports
FuncTest;begin
end.
begin
//这段代码你应该很熟悉
end;exports
FuncTest;beginend.
begin
//这段代码你应该很熟悉
end;exports
FuncTest;beginend.
/////////////////////
上面的代码应该不会有问题 吧?!你所说的riched20.dll被Overwrite,我觉得很多virus都采用!
它们做重新做一个.dll文件,使它的入口地址全部一样,
而代码的实现部分就由他们自己决定了。可惜,以前的前辈都不来这里了,要不他们可以说出个所以然来
////吾技尽矣...... ^o^
提前,如果再没有人感兴趣我就结账
你可以做成一个COM EXE
做若干个接口
这样就行的
而且很好用
看看Kingron的主页去,没准,又有好东东down喽.........