好像是将 RServer.dll 中的一个函数附在explorer中。具体的不懂。
解决方案 »
- TDataPacket的sizeof()最多能传多少个字节?
- 下面代码哪有问题?
- 刚入门,请教老鸟们一些问题 procedure 这个函数是干什么的?
- 现在想做版本控制,可是VSS不支持,StarTeam又不会
- intraweb能实现无刷子新更新数据吗?
- TDisplaySwitcher,TRxpopupMenu 是在甚麼控件包中的控件阿,在那裡有下載阿
- 一个关于COMPUTE BY 子句的使用问题
- Memo与RichEdit的最大容量是多少啊。为什么用它打开一个比较大的(1兆多)的文本文件不完整?应该怎么让它们能打开大的文件呢?
- 用IwFile做文件上传为什么会这么慢的?
- 怎样把自己的应用程序加入到右键菜单中??????????????
- 打包,打包,别名,别名,我晕了。。
- 如何在窗体透明的前提下,使image中的位图的背景也透明?急!!!!
大体流程是,将 explorer.exe 改名成 explorer.new 并修改其数据(因为 explorer.exe 是没法在 windows 打开的情况下修改的),它修改 explorer 的入口,在新的入口中先 FindWindow("RServer") 找到后建立新 thread 然后跳入旧入口运行,新 thread 用于加载 RServer.dll 然后运行 dll 中的 run 入口函数。
具体的“感染”过程你要了解 PE 文件。
我不会因为分数向你讲太多。BTW: 该程序方法没有特点,程序设计也不好。
与我联系:[email protected]