HOOK黑客木马开机启动！小伙子用c++手把手带你进入木马的世界！

一 学习目标

这是一段远程控制木马开机启动的代码，主要使用了ActiveX方式启动。结合自己的理解重新整理了笔记。而作为编程新手入门的自己决定要开始梳理学习目的和订下学习的目标。从今天开始要坚持做到

• 1.逼自己去看英文版本的MSDN掌握windowsAPI的使用。
• 2.锻炼编程开发能力，快速开发出安全工具。
• 3.逆向自己编写的程序熟悉反汇编代码来提升自己的逆向能力，因为逆向和开发的能力是成正比的。

二 编程思路

• ActiveX启动原理

ActiveX启动是在HKEY_LOCAL_MACHINE下的Software\ Microsoft\Active Setup\Installed Components\中注册一条类似{36f8ec70-c29a-11d1-b5c7-0000f8051515}的子建，然后子键中新建StubPath的值项，内容为启动的文件名

编写的思路

要考虑到如果键值已经存在，那么就删除。如果键值没有，那么就创建

• 1、打开指定的注册表键 RegOpenKeyEx

第一步则先判断打开的注册表键动作是否成功，根据状态继续执行之后的步骤

• 1.1 未成功
• 1.2 获取系统文件夹 GetSystemDirectory
• 1.3 获取执行文件当前所在目录 GetModuleFileName
• 1.4 复制自身到系统文件夹中 CopyFile
• 1.5 新建注册表子键与值项 RegCreateKeyEx
• 1.6 新建注册表子建值项内容 RegSetValueEx
• 1.7 关闭注册表句柄 RegCloseKey
• 2、 成功
• 执行弹出计算器 WinExec
• 删除键值 RegDeleteKey

三 实现流程

编程环境

操作系统：windows 7

编译器版本：vs 2010

前置API函数

C++代码

vs2010,vs2015编译通过

成功截图