QQ尾巴病毒的Visual C++实现探讨

好了，我来解释一下这个问题。我们的这个仿真程序的EXE、DLL以及QQ的主程序事实上是下面这样一种关系： Qkoo.Cn

　　这个DLL需要将一个实例映射到EXE的地址空间之中以供其调用，还需要将另一个实例映射到QQ的地址空间之中来完成挂接钩子的工作。也就是说，当钩子挂接完毕之后，整个系统的模块中，有两个DLL实例的存在！此DLL非彼DLL也，所以它们之间是没有任何联系的。拿全局变量g_hRich来说，图中左边的DLL通过EXE的传入获得了文本框的句柄，然而如果没有共享段的话，那么右边的DLL中，g_hRich仍然是NULL。共享段于此的意义也就体现出来了，就是为了保证EXE、DLL、QQ三者之间的联系。这一点，和C++中static的成员变量有些相似。 Qkoo.Cn

　　在钩子挂接成功之后，你可以通过一些有模块查看功能的进程管理器看一看，就会发现Hook.dll也位于QQ.exe的模块之中。

Qkoo.Cn

　　最后一些要说的 Wtto.Net

　　1、我是前说过，在2003年的1月份我就碰到了这种病毒，至今我还很清楚地记得那个病毒EXE只有16KB大小，所以从病毒本身存在的性质来说，这个东西应该是用Win32ASM来写会更实用一些。 Qkoo.Cn

　　2、那个病毒我曾经是手杀的——用了一个进程查看工具就杀掉了。但是现在的“QQ尾巴”增加了复活功能——在EXE被杀掉后，DLL会将其唤醒。我曾经用我的进程查看工具分析过，发现系统中几乎所有的进程都被病毒的DLL挂住了。这一技术是利用CreateRemoteThread在所有的进程上各插入了一个额外的复活线程，真可谓是一石二鸟——保证EXE永远运行，同时这个正在使用中的DLL是无法被删除的。这一技术我也已经实现了，但是稳定性方面远不及病毒本身做得优秀，故在此也就不将其写出了，有兴趣的朋友可以参考Jeffrey Richter《Windows核心编程》的相关章节。 Qkoo.Cn

　　3、走笔至此想起了侯捷老师《STL源码剖析》中的一句话——“源码之前，了无秘密。”如果你看完本文之后也有这样的感觉，那么我将感到不胜荣幸。