如今病毒木马蠕虫层出不穷,变种也是一个接一个。反病毒公司以及各大安全公司随着影响很大的病毒的出现都会免费提供病毒专杀工具,这个举措对普通用户来说确实很有帮助。其实写病毒专杀工具也不像大家想象的那么神秘,利用SDK写个控制台程序来实现病毒专杀,因无须写图形界面,所以简便快捷!你自己也能写!不信?就接着看吧^_^ 废话不说了,接下来就开始谈谈病毒专杀工具的思路及实现方法。 <,[cQ I/
*h'=3w:G
*M:B\D
此文中讲解的病毒专杀工具是针对木马、蠕虫等独立的程序而言的广义的病毒而言,而不是指那种自我复制感染PE文件的依附于其他程序的那种狭义的病毒。因为写那种病毒的专杀工具需要PE文件结构等知识,相对而言有点难度,所以我们就先从相对简单点的开始,难的以后再介绍。 M}yDXJx
)(ImLbM)
w8MG(Lq1"
对于大多数病毒而言,杀毒的思路其实很简单,那就是:终止病毒的进程、删除自启动项目(一般在注册表中的run*主键下)、删除病毒文件,对设置了文件关联的病毒而言还要修改注册表恢复文件关联。下面将分别陈述。 Xc?&_\. +
;_rF;9z9
{so`/EWa
一.终止进程 Jtr"NS?a]
,Wk?I%>
~:Ll&29i
以前网上曾有许多朋友问我怎么根据文件名终止指定进程,为什么使用函数TerminateProcess()不能直接终止指定进程。首先让我们来看看函数TerminateProcess()的声明吧:Bool TerminateProcess(HANDLE hPeocess,UINT uExitCode),其中第一个参数为进程句柄,而不是进程名称(文件名)。那怎样才能获得指定进程的句柄呢?我们可以使用函数OpenProcess(),其原型为 +y&Tf#.V/A
sg$rzT-S4
/atW8 `&
^; )8VP6
HANDLE OpenProcess( thifRd$4
DWORD dwDesiredAccess, // 访问标志 -'t)=YJ
BOOL bInheritHandle, // 处理继承的标志 >'&p>Ad)
DWORD dwProcessId // 进程标识号,即进程ID ";3zXk[#
); !bN*\c
"|q qUKJZ
0=AVW`J
X!9 B2w
最后一个参数就是该进程的ID,进程句柄和进程ID是两回事,这时你可能很郁闷:怎么知道进程ID呢?方法当然有啦!在Windows9X/2000/XP/2003中,微软均提供了用来枚举进程的ToolHelp API系列函数。先运用函数CreateToolhelp32Snapshot()取得快照句柄,然后使用Process32First()以及Process32Next()枚举当前的进程。枚举过程中会将每一个进程的信息存放到PROCESSENTRY32结构中。PROCESSENTRY32的原型为: "nw;NIp!
7f0lQ
yCVI\y\B
q,93nhs "
typedef struct tagPROCESSENTRY32 `6n!$Cxo
{ w64.R4e
DWORD dwSize; // 结构大小; K]%N-F>r
DWORD cntUsage; // 此进程的引用计数; *u<rU,C8
DWORD th32ProcessID; // 进程ID; .O;!W<Ef$
DWORD th32DefaultHeapID; // 进程默认堆ID; /bu'6/!`
DWORD th32ModuleID; // 进程模块ID; P7cge
DWORD cntThreads; // 此进程开启的线程计数; +$(71#'y
DWORD th32ParentProcessID; // 父进程ID; 2z[r@}3
LONG pcPriClassBase; // 线程优先权; A>J1B(up
DWORD dwFlags; // 保留; )#)nBM2\
char szExeFile[MAX_PATH]; // 进程全名; D l4d'&!
} PROCESSENTRY32; XTIu(f|d_;
<[/PyNYK
^l&nB