最近要写个在线专杀的东东,虽然是专杀(本来只要清除几个特定的文件和杀几个特定的进程,然后把用户的注册表恢复正常,很多病毒木马最喜欢干的一件事情就是写 映像劫持 然后机器一重启,安全相关的软件全部玩完了,不过这也没什么技术含量,利用了操作系统的“漏洞”而已),但是因为是 磁碟机,这个病毒(木马)很恶心,是感染型的,你磁盘上的exe文件可以全部给你感染成一个个的“小磁碟机”,很恐怖,呵呵,所以没办法,要清除它,必须在杀掉磁碟机的进程之后,对全盘进行扫描,对每一个被感染的exe文件(好像com文件不能感染)进行修复,怎么进行磁盘遍历呢?请看下面的代码:(其实杀毒引擎工作的过程就是一个遍历磁盘上文件的过程,然后再对每个文件进行处理)
- // -------------------------------------------------------------------------
- // 函数 : ScanDirectory
- // 功能 : 遍历一个目录,然后做一些事情(想做什么做什么呗)
- // 返回值 : DWORD
- // 参数 : const WCHAR *pwszPath
- // 附注 : 可以为磁盘根目录
- // -------------------------------------------------------------------------
- DWORD ScanDirectory(const WCHAR *pwszPath)
- {
- USES_CONVERSION;
- static int nCountFile = 0;
- DWORD dwRet = 1;
- WCHAR *s = NULL;
- HANDLE hFind = NULL;
- WIN32_FIND_DATAW fd = {0};
- WCHAR wszFileName[MAX_PATH] = L"";
- lstrcpyW(wszFileName, pwszPath);
- s = wszFileName + wcslen(wszFileName);
- if (*(s-1) != L'//')
- *s++ = L'//';
- // wcscpy_s(s, 4, L"*.*");
- ::lstrcpyW(s, L"*.*");
- hFind = FindFirstFileW(wszFileName, &fd);
- if (hFind==INVALID_HANDLE_VALUE)
- goto Exit0;
- do
- {
- // 过滤
- if (_wcsicmp(L".", fd.cFileName) == 0 || _wcsicmp(L"..", fd.cFileName) == 0)
- continue;
- ::lstrcpyW(s, fd.cFileName);
- *(s + lstrlenW(fd.cFileName)) = L'/0';
- // 如果是文件夹则递归
- if (fd.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY)
- {
- // 删除.svn目录,我做一个小工作,删文件,o(∩_∩)o...
- WCHAR wszSvnCmd[MAX_PATH] = {0};
- ::lstrcpyW(wszSvnCmd, L"rmdir /s/q ");
- ::lstrcatW(wszSvnCmd, wszFileName);
- ::lstrcatW(wszSvnCmd, L"//.svn");
- system(W2A(wszSvnCmd));
- ScanDirectory(wszFileName);
- }
- else
- {
- // 对文件进行扫描
- // 这里你可以放入你对文件的处理代码
- }
- }while(::FindNextFileW(hFind, &fd));
- dwRet = 0;
- Exit0:
- if( hFind != INVALID_HANDLE_VALUE )
- {
- ::FindClose( hFind );
- hFind = NULL;
- }
- return dwRet;
- }
当然上面的代码还只能遍历一个磁盘,除非你知道自己的机器上有几个磁盘,然后调用几次就可以了,但是你不知道用户的机器上有几个什么磁盘咯,所以还须有下面的代码和上面配合:
- // -------------------------------------------------------------------------
- // 函数 : ParseDiskName
- // 功能 : 解析机器上能扫描的磁盘的名
- // 返回值 : DWORD 返回能扫描的磁盘数量
- // 参数 : TCHAR *pszDiskName 缓冲区 放入可扫描的磁盘的英文盘符名
- // 附注 :
- // -------------------------------------------------------------------------
- DWORD ParseDiskName(TCHAR *pszDiskName)
- {
- static TCHAR *pszWordTable = {"abcdefghijklmnopqrstuvwxyz"};
- DWORD dwDisk;
- DWORD dwBase = 0x1;
- DWORD dwCount = 0; // 记录磁盘数量
- DWORD dwScanCount = 0; // 要扫描的有效磁盘数量,用于返回
- DWORD dwStyle;
- TCHAR szDiskPath[4] = {0}; // 缓存一个磁盘根目录名
- TCHAR szDiskArray[26] = {0}; // 记录要扫描的所有磁盘名
- dwDisk = GetLogicalDrives();
- while (dwDisk && dwCount <= ::lstrlen(pszWordTable))
- {
- memset(szDiskPath, 0, sizeof(szDiskPath));
- if (dwDisk & dwBase)
- {
- ::lstrcpyn(szDiskPath, pszWordTable + dwCount, 2);
- ::lstrcat(szDiskPath, TEXT("://"));
- dwStyle = GetDriveType(szDiskPath);
- // 是否可扫描的
- if (DRIVE_REMOVABLE == dwStyle || DRIVE_FIXED == dwStyle)
- {
- szDiskArray[dwScanCount] = pszWordTable[dwCount];
- dwScanCount++;
- }
- }
- dwDisk = dwDisk & ~dwBase;
- dwBase = dwBase * 2;
- dwCount++;
- }
- ::lstrcpy(pszDiskName, szDiskArray);
- return dwScanCount;
- }
呵呵,差不多了,不过上面的遍历文件用递归实现的,有可能出现堆栈溢出的情况,用迭代实现遍历磁盘也是可以的,不过我一直没有去写一个,还是觉得太麻烦了,递归多方便啊。再show点代码,对计算机进行重启的,不过这个重启是类似于掉电重启的,大家别随便试啊,一调你的机器得不到任何通知就重启了,为什么要这么用呢?是因为有些病毒再收到系统重启通知的时候会干些坏事情,用这种方法才能彻底清除它。
- // -------------------------------------------------------------------------
- // 函数 : ForceShutDown
- // 功能 : 强制重启
- // 返回值 : HRESULT
- // 附注 :
- // -------------------------------------------------------------------------
- HRESULT ForceShutDown()
- {
- // 强制重启参数 函数指针声明
- typedef enum _SHUTDOWN_ACTION
- {
- ShutdownNoReboot,
- ShutdownReboot,
- ShutdownPowerOff
- } SHUTDOWN_ACTION;
- typedef DWORD (WINAPI* lpNtShutdownSystem)(SHUTDOWN_ACTION Action);
- LONG nRet = FALSE;
- HANDLE hToken;
- TOKEN_PRIVILEGES tkp;
- HANDLE hProcess = NULL;
- HMODULE hNTDLL = NULL;
- hProcess = ::GetCurrentProcess();
- if(hProcess == NULL)
- goto Exit0;
- if(!::OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
- goto Exit0;
- if(!::LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME, &tkp.Privileges[0].Luid))
- goto Exit0;
- tkp.PrivilegeCount = 1;
- tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
- ::AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, (PTOKEN_PRIVILEGES)NULL, 0);
- hNTDLL = LoadLibrary(_T("NTDLL.DLL"));
- if (hNTDLL)
- {
- lpNtShutdownSystem NtShutdownSystem = (lpNtShutdownSystem)GetProcAddress(hNTDLL, "NtShutdownSystem");
- if (NtShutdownSystem)
- {
- NtShutdownSystem(ShutdownReboot);
- }
- ::FreeLibrary(hNTDLL);
- nRet = TRUE;
- }
- Exit0:
- if(hToken)
- {
- ::CloseHandle(hToken);
- hToken = NULL;
- }
- if(hProcess)
- {
- ::CloseHandle(hProcess);
- hProcess = NULL;
- }
- return nRet;
- }
以后再说说那个堆栈溢出的情况吧。
http://blog.csdn.net/magictong/article/details/2784420