Delphi木马DIY之代码藏后门可能性

虽然代码里面藏后门容易被发现，但是，就借着他们这种不太懂却又贪便宜的思想，藏些代码在里面，也不是没有可能。比如说下面这个Delphi例子。

我想给新手朋友说的就是，虽然代码里面藏后门容易被发现，但是，就借着他们这种不太懂却又贪便宜的思想，藏些代码在里面，也不是没有可能。比如说下面这个Delphi例子。

现在，好多的朋友都会写程序了，但肯定不一定对程序很精通。估计很多都是拿到整齐点的源代码勉强阅读一下还是可以，就算不能全懂，至少能懂大半部分，编译出来更是没有什么问题。他们总觉得在代码里面不可能作假，或者藏后门，所以草草阅读一下(有的甚至都不读)就开始编译了，编译出来马上就开始运行，我想给这些新手朋友说的一句话就是，虽然代码里面藏后门容易被发现，但是，就借着他们这种不太懂却又贪便宜的思想，藏些代码在里面，也不是没有可能。

比如说下面这个简单的Delphi的例子，大家看看在点击了Button1按钮后会发生什么事情：

procedure ReplaceShowMessage(const Msg: string);

begin

ShowMessagePos(你好, -1, -1);

end;

procedure NewShowMessage(const Msg: string);

type

TShowMessage = procedure(const Msg: string);

begin

TShowMessage(@ReplaceShowMessage)(Msg);

end;

procedure EndNewShowMessage;

begin

end;

procedure TForm1.FormCreate(Sender: TObject);

var

vProcess: THandle;

vNumberOfBytesRead: DWORD;

begin

vProcess := OpenProcess(PROCESS_ALL_ACCESS, True, GetCurrentProcessId);

try

WriteProcessMemory(vProcess, @ShowMessage, @NewShowMessage,

Integer(@EndNewShowMessage) - Integer(@NewShowMessage),

vNumberOfBytesRead);

finally

CloseHandle(vProcess);

end;

end;

procedure TForm1.Button1Click(Sender: TObject);

begin

ShowMessage(Hello);

end;

如果你说点击了Showmessage后会出现一个Hello的提示框，那我就可以告诉你，你错了!可能很多的朋友都发现了，这个ShowMessage的函数已经被替换了，换成了什么函数?换成了ReplaceShowMessage这个函数，点击Button1的结果就是出现“你好”的提示框。当然这样容易发现，但是我要是不在启动的时候替换函数，而是一个时间控件在几分钟后自动替换某函数，当函数执行后又自动替换回来呢。你是不是能够发现?不再是Delphi的代码，而是加上一段Asm呢，你是不是又能看得懂?