u盘恶意代码实验-()

计算机上所有流程的信息（用户流程、系统流程）通常是为了检索受害者流程，检测虚拟机中是否运行，是否有软杀等，有时反调试技术也会检测流程名称。因此，在恶意代码中经历过程是很常见的。

具体流程：

1、调用CreateToolhelp32Snapshot获取所有过程的快照信息之所以被称为快照，是因为它保存了以前的信息，这个函数返回到过程的快照句柄。

2、调用Process32First获取第一个过程的信息，保存返回的过程信息PROCESSENTRY在32结构中，函数的第一个参数是CreateToolhelp32Snapshot返回快照句柄。

3、循环调用Process32Next从进程列表中获取下一个进程的信息，直到Process32Next函数返回FALSE，GetLastError的错误码为ERROR_NO_MORE_FILES，然后是遍历结束。

4.关闭快照句柄，释放资源

遍历线程和过程模块的步骤与上述步骤相似，使用线程遍历Thread32First和Thread32Next，使用模块遍历Module32First和Module32Next。

源码实现：

#include "EnumInfo.h"void ShowError(char *lpszText){ char szErr[MAX_PATH]={0}; ::wsprintf(szErr, "%s Error[%d]\ ", lpszText, ::GetLastError());#ifdef _DEBUG ::MessageBox(NULL, szErr, "ERROR", MB_OK);#endif}BOOL EnumProcess(){ PROCESSENTRY32 pe32 ={ 0 }; pe32.dwSize = sizeof(PROCESSENTRY32); // 获取全过程快照 HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); if (INVALID_HANDLE_VALUE == hProcessSnap){ ShowError("CreateToolhelp32Snapshot"); return FALSE; }// 在快照中获取第一条信息 BOOL bRet = ::Process32First(hProcessSnap, &pe32); while (bRet){ // 显示 Process ID printf("[%d]\ ", pe32.th32ProcessID); // 显示 进程名称 printf("[%s]\ ", pe32.szExeFile); // 在快照中获取下一条信息 bRet = ::Process32Next(hProcessSnap, &pe32); }// 关闭句柄 ::CloseHandle(hProcessSnap); 电脑 return TRUE;}BOOL EnumThread(){ THREADENTRY32 te32 ={ 0 }; te32.dwSize = sizeof(THREADENTRY32); // 获取所有线程快照 HANDLE hThreadSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0); if (INVALID_HANDLE_VALUE == hThreadSnap){ ShowError("CreateToolhelp32Snapshot"); return FALSE; }// 在快照中获取第一条信息 BOOL bRet = ::Thread32First(hThreadSnap, &te32); while (bRet){ // 显示 Owner Process ID printf("[%d]\ ", te32.th32OwnerProcessID); // 显示 Thread ID printf("[%d]\ ", te32.th32ThreadID); // 在快照中获取下一条信息 bRet = ::Thread32Next(hThreadSnap, &te32); }// 关闭句柄 ::CloseHandle(hThreadSnap); return TRUE;}BOOL EnumProcessModule(DWORD dwProcessId){ MODULEENTRY32 me32 ={ 0 }; me32.dwSize = sizeof(MODULEENTRY32); // 获取指定过程中所有模块的快照 HANDLE hModuleSnap 电脑 = ::CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessId); if (INVALID_HANDLE_VALUE == hModuleSnap){ ShowError("CreateToolhelp32Snapshot"); return FALSE; }// 在快照中获取第一条信息 BOOL bRet = ::Module32First(hModuleSnap, &me32); while (bRet){ // 显示 Process ID printf("[%d]\ ", me32.th32ProcessID); // 显示 模块加载基址 printf("[0x%p]\ ", me32.modBaseAddr); // 显示 模块名称 printf("[%s]\ ", me32.szModule); // 在快照中获取下一条信息 bRet = ::Module32Next(hModuleSnap, &me32); }// 关闭句柄 ::CloseHandle(hModuleSnap); return 电脑 TRUE;}

几乎所有恶意代码都需要文件操作，木马病毒窃取机密文件，然后打开一个秘密端口，（之前在kali事实上，有一个简单的方法可以看到有人问如何识别木马。几乎所有的木马都必须与攻击者的主机进行通信，以查看打开了哪些奇怪的端口）。

就算是再R也经常创建写入读取文件，经常使用文件功能。

就算是再R写入读取文件经常被创建，文件功能经常被使用。文件搜索功能主要是通过调用FindFirstFile和FindNextFile来实现。

1、调用FindFirstFile函数，函数接收文件路径，第二个参数指向WIN32_FIND_DATA结构指针。若函数成功，则返回搜索句柄。该结构包括文件名称、创建日期、属性、大小等信息。

返回结构中的成员dwFileAttributes为FILE_ATTRIBUTE_DIRECTORY返回是目录，否则是文件cFileName获取搜索到的文件名称。如果需要再次搜索目录下的所有子目录文件，则需要判断文件属性。如果文件属性目录，则继续递归搜索，搜索其目录下的目录和文件。

2、调用FindNextFile搜索下一个文件，判断是否根据返回值搜索文件，如果没有，则文件遍历结束。

3.搜索后，调用FindClose关闭搜索句柄，释放资源缓冲区资源。

源码实现：#include "stdafx.h"#include "FileSearch.h"void SearchFile(char *pszDirectory){ // 搜索指定类型的文件 DWORD dwBufferSize = 2048; char *pszFileName = NULL; char *pTempSrc = NULL; WIN32_FIND_DATA FileData ={0}; BOOL bRet = FALSE; // 申请动态内存 pszFileName = new char[dwBufferSize]; pTempSrc = new char[dwBufferSize]; // 构建搜索文件类型字符串， *.*这意味着搜索所有文件类型 ::wsprintf(pszFileName, "%s\\\\*.*", pszDirectory); // 搜索第一个文件 HANDLE hFile = ::FindFirstFile(pszFileName, &FileData); if (INVALID_HANDLE_VALUE != hFile){ do{ // 要过滤掉 当前目录"." 和 上一层目录"..", 否则，它将继续进入死循环 if ('.' == FileData.cFileName[0]){ continue; }// 拼接文件路径 ::wsprintf(pTempSrc, "%s\\\\%s", pszDirectory, FileData.cFileName); // 判断是目录还是文件 if (FileData.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY){ // 目录, 继续向下递归遍历文件 SearchFile(pTempSrc); }else{ // 文件 printf("%s\ ", pTempSrc); }