1、恶意网页我不怕打造网页源码查看器Iiltllll日【 )Ihn/:兰干服务的部分介绍完了下面开始介绍另外两个技术难点:自动关机和获得用户各以前在 windews98 时代.可以很轻松的使用rundl132exeLl,serexeexitwindows 来完成关机但是在 XP 下这样做是无效的我是使用如下代码完成关机工作的:l|I%rl.DGEsTkv2;lJu|n 耐【口 ruH.舢:llhand=GetctPre):/童再当霄毫程句柯 rl 口 ra叫(han4nl1a 八 me0lme 口崔Lu 诅柏吣 Lul“州吲曙删 ueamBpsa豫虬 uidll 血自 m(占舶吐,Ijv 舳 0T
2、kPvlTPrJvPnv,kg 日 c.1L=ll至于获得当前用户名也许你会觉得没有什么技术含量.不就是 GetCurrentUserc)么 7 一开始我也是这么想的但是后来发现.因为该进程是系统服务开启的所以返回的用户名为 sYsTEM.这可怎么办呢.难道让我也一起忍受这限制时间的痛苦经过在 MSDN 上千辛万苦的查找.终于找到了个解决办法.还是来看代码吧charNamd10】=;11 毋彝鼍n,ll 户右 lchar*LogName=NUI.L:/喜量 .迎蠢.调 1I_,甘 l崔持鼍曲是一十二量靠*lDWORDS 妇:liftWTsQurysessi0nInforatj0n 】(WTSC
3、URRENT_SERVELHANDLE,广 rsCURRENTSESSION.Size)stpyLa :u)Me 簖 H(saIrIe).最后.Name 中返回的就是当前置录的用户名如果还未登录返回值为空字符串剩下的就是编写服务函数了读取系统时间读写注册表提醒.关机.没什么可写的了.文章写完了.本来高高兴兴的.谁知那个小妮子告诉被她已经在进程管理其中找到相关进程了.现在开机先结束该进程,每天照玩不误 1I 岂有此理.还治不了她了,l 请大家期待我的下一篇吧一实战进程隐藏lJj,)l适合读者程序员 VB 爱好者前置知识 V8 基础扣造=文/图 smarasc恶意网页遇到过吗恶意代码遇到过吗)上了
4、某个网站就感染恶意程序遇到过,-52 相信不用听回答就知道答案了=这些东西简直太可恶了,那有没有什么方法可以将其“逮捕归案呢当然有啦万事都要知己知彼方可百战百胜.首先得准备一款网页源码查看器.什么.你没有那可中大奖了我今天就要带着大家一起走近这网页源码查看器.圈曩蓄了解萁制造过程,并使用一些技】将恶意 XX 给逮起来好了废话不多说了,否则要有西红柿炒鸡蛋飞上来了在介绍制造过程前先说一下要掌握的知识.HTT 指令【不会 .哪个说豹 :我还没讲呢兢碱不会.出去站着去)它是连接客户机与服务器的纽带.我们可以利用一款名为“中华经典网络军Socket)$0et?th-n刀的软件来获取.打开该软件后.在目
5、标地址后填入网址随便哪个都行在端 1:3 后填八对方月站 wE8 的端 1:3 默认是 8O,协议选择TCP,点击工具栏上第一个按钮进行连接当成功连接后软件后在消息框中给出提示随后点击操作菜单中的 HTTP 协议族里的获得资源正文,稍等片刻就可以看到消息框中出现了很多代码.不管它将其滚动块拖到最上方.可以看到发送指令的字样后面的就是我所说的 HTTP 指令.如图 1 所示图 I在上图中被选中的部分就是 HTTp 指令.这个只是其中的一部分不过今天已经足略用了紧接着就要 TCP 协议出场了.说到 TCP 协议就不得不提 IP 协议.其实 TCP/P 是组成 Internet 最基本的协议 IP“
6、nterrletPratocg1 是固特网协议从速个名称我们就可以知道 lP 协议的重要性在现实生活中,我们进行货物运输时都是把货物包装成一个个的纸箱或者是集装箱之后才进行运输在网络世界中各种信息也是通过类似的方式进行传输的.IP 协议规定了数据传输时的基本单元和格式.如果比作货物运输-P 协议规定了货物打包时的包装箱尺寸和包装的程序,除了这些以外.IP 协议还定义了数据包的递交办法和路由选择同样用货物运输做比瑜.IP 坼议规定了货物的运输方法和运输路线=我们已经知道了 lP 协议很重要 IP 协议已经规定了数据传输的主要内容那 TcPTransmissionControIProtocolI
7、协议是做叶么的呢)不知大家发现没有在 IP 协议中定义的传输是单向的也就是说发出丢的货物对方夸没有收到最们是不知道的就好像 8毛钱一份的平信一样那对于重要韵信件我们要寄挂号信怎么办呢丁 CP 协议就是帮我们寄挂号信的.TC 协议提供了可靠的面向对象的数据流传输服务的规则和约定简单的说在 TcP 模式中.对方发一个数据包给你你要发一个确认数据包给对方.通过这种确认来提供可靠性在互联丽的客户机服务器模式下.为了保证数据的正确传输.所以常使用 TCP 协议.有了上面的知识,再加上一点点编程基础和自己的想象力就完全可以知道网页源码查看器的制作过程了迁不知道 7 不急正所谓“心急吃不了热豆腐代码布局设计
8、在代码设计之前还是让我们先把框架措起来.如图 23 所示分别是其各控件布局及对应的属性图 5程序初始化这一步主要定义一些程序中需要使用的窗体级变量存放一些各过程需要使用的数据.另外要在宦体加载时设置查找选项的默认值,防止操作时因没有选择而造威程序崩溃是冉蜕完整日筲代码铀丰特竟量PnrWeb】a如 St 衄建咒鲁技盘拽一字符位置曲袅糟童主重(再百代碍腔长.生型和单幡虞不垮焉)P 口 8teFixlAsDoube.定足舟救目址拆井后軎按吾替挣的丰丹吏量1)lm1ttpAsSiring:DirlDozramAsJmathAsStnt 瑶HAC 雌 RDEF 硼发送 HTTP 指令这一步先判断是否输入
9、了网址.有的话将指定的网址分解成 hAp:/头,网络主机名和网页路径名三部分.因为在连接过程中需要指名咧络主机名或网络主机的 lP 接着将查看和清除命令按钮置为不可用防止再次连接或将已获取到的代码清除.同时给出连接和处理代码的提示让使用者知道程序正在运行然后设置 Winsock 控悍的协议,对方网络主机名及对方主机使用的连接端口:在设置好后进行连接.在发出连接指令后触发连接事件.在连接事件中先判断是一级网址还是多级同址,一级的话直接连接默认的根.多级则连接上面刚分解的网页路径缶然后设置 HTTP 指令这里解释下相应的指令 GE是告诉对方主机要获取网_壳/或 Pa!h“是指明了一级还是多级嗣址
10、HTTP/10 是说明了指令版本“Host:指明了连接的网络主虮宅 Accept:十说明获取类型在指令结束后要加上一回车换行.作用是告诉主机执行上述指令.在全部指令设置完后向对方主机发送上面的指令并执行拄取抽宅网贾的托碍【Su1)llldWalclLCn橱蛄化存敢充肇时贾代碍曲字符主 tFtOWebI)8b=爿秆是香擅八垃 ht%p:/“开熹的同址JfI.et(txtuRLText)t8T往育输最不连“ht 铀:/开头的日址利出现提示Mx墙htLp:!/的悯址 1,vblnformation.追击奉过程ExjStIbE 订】J取眄扯中曲 htp/共HpMid(itUR:rex.I,判断孵蛙一垭
11、还 t 争救IfIr,S1 埘 d(ixlURL*lexuL/rJ=0“13l 自】.是一妊爿敷取蝮_暑一主机名】0fm 诅=Mid(Lt0RLText81设置善它身立圜糍开怕连接嘲謦主轧8_1ln 仳 CotrXt连攮时捧主机井皇避 HTTP 措争ISubklnLemetCorrect().定置軎技抬卜的支量DimsLrCommal 砌 AsSL,iltg判新嚼址量一垃还量照-1h“111 朗.是一聂删簌取撮(取弧呵百)*代哥rCoT 瑚 nd=?GT/H1TfI,】vbCrlrElse.是多幔 Il 囊取具体弗轻指定罔贾的代码rc0mm 祀 uG 日 T廿 1?HrP,】vbCrIIInI
12、f谩置获取罔百的罔捧主机名strCommarld=strCommandll16suDomainvbCrL幢王蓑取阿贾妻壁sirCamma:xlstr0Jmmand0Accept:/?vbCrL获取并分离指定网页代码在发送并执,厅 HT_P 指令后要做的就是接收对方主矶返回的网页代码因为 wInsock 有接收缓冲区太小限制.所以是通过自身循环来完威的.不需要人为干预在接收过程中为不让使用者认为程序因栏目编辑;o,mck_rcwl 为网络速度的影响而死掉.需要给出进度提示.接收完后将完整的网页代码显示在回页代码框中.同时对获取到的代码进行处理这里说一点恶意网页的小把戏一般为了让你不知不觉中就中招
13、,其使用的是框架.也就是用.frame 来调用网页这样你在浏览一般网页的同时也浏览了恶意网页另外也可以通过脚本的Operl“函数来打开指定的网页这种方法只要做够一般也很难发现更难发现的是用 SrC 调用已经写好的脚本【s 或 Vbs)因为其本身代码不在网页代码中显示.所 1,2 往往会被忽略掉,但却相当危险知道了原理.我们就可以下手了通过查找网页代码中的 iffame.“oPen,src 及js,.vbs 桌丹解代码 .并将这些可疑的东西单独放人相应的消息框中0nErrorRe 鄙 n1cNext定卫冉救一段托碍.半开甏量DimWebData8Sz_li,qg.藏取一殷.陀哥scklnterr
14、et.G 叫 laWebta 墉 LnJ矗备十忾碍玉示与址疆扭中置示进虞性怠bTText=hHTMLTcxt“一lrtbacrimFex!=一【断 i【TLxt“.l卉建擐代砖蔓爿皓竞整代碍变量.鞋便下一取平巴两的控RndSub接收竞单.燕黼连营地疆托碍Pri,ateSubscknterretCl 谓】甍两毪接,吐便再袁莲捶sckittaxeLC基沽童与砖陆拄粗.丸许弄呋童口 r1dWB.:naed=TncmdC!国 1ab=True靖球文档共冀回页 HTML 代碍申曲平己碍.调用时丙瘦谓厝脾奉申竹赴臻黠果rttTMI.Ten.1:lWd】Tem=.rLbS=nxL=-iiT1=f1nqext
15、=ruWIr 诅定足赴摩代哥临时軎枝干巴辟的丰杼教蛆Di122lanrllAssI 培毫又赴理对曲量扣1l 珲史量13imiAsLr定足出疆袭盘序于曲整型变量Djmm.nAsI:【eer.杖报抒丹痔奇异符进行拆廿.棒岵曩培格对羹蛆13agerSplJtFullWeb1)ata,v 乩 n帆 t 啦的 t 小一量走下标进十齄曩For1Ltc,.zrldI)arger)T0UIound(Darer)铀 pI一膏网百代码中置蓉音敬.Ifreline 枉皋调用忖同算 l 噩甩奉 pen“打开竹同JfIn,r(ILCase(langer(i】).lframo0OrIi 日 1.L0I 相 l,10OT,
16、霄 II 序哥扣 IT1Im+l蔓乖直调用讨同酉粗巾rtbWe1).qtrLbW 曲 Text83r(m)矗.嘞I】Cg,ud:f捌辑同再代碍中毛罾有址$1-G呵用竹味.js 砖尾但鼍“.js 绮置.拿文件厦啦 .s 蜻豆的文件Lr“s1Lease(DangerJ),)=0A;ndInStrl1.Lcase(arlr(,)ls)o0kndlnStr(1.LCasNDanl(D)玳.0O)OrcnStr(1.LCa8dIlanger();vbs)0AndITISL1.LcaLD 日 r 眦 sl】oI)T11 印有删序乎扣 Jn=nI里乖在调用曲鼻奉中错误处理为了让在网络连接及代码获取的过程中出
17、现错误时及时处理.需要在其中加人 wlnsock 的错误代码处理如果出错.则先关闭连接下次还可以继续使用.然后给出提示并将相应的按钮澈活查找指定字符为了更好,更快速的揪出恶意网页.在本程序罩硼_二了查拽功能.可以查找调用的网页与调用的脚找到后会被选中高亮显示为了让太家更容易明白我把查找过程写成了调用过程,这样既可管啊 2 瞄 9 燕客防线l 强_一一_蚕一患skets 口 cketh?cn以使代码具有可读性.更加快了执行速度还要说明一点其实查找第一个和查找下一个的区别就在于.第一个是从开头,也就是 0 处开始而下一个则是从已经找到的位置继续往下.所以在这里我仅仅是在查找第一个中将开始位置设为“0“.然后调用查找下一个的按钮过程.
