Indy 中IdMultipartFormData单元封装了POST带multipart/form-data类型的对象TIdMultiPartFormDataStream类型，比如我想用程序实现自动提交文件到 virustotal 进行扫描的时候就需要用到TIdMultiPartFormDataStream来作为post的数据参数。

   查看virustotal 的文件上传HTML关键代码如下：

   

<form name="consulta" action="/vt/zh-cn/recepcion" method="post" enctype="multipart/form-data" onSubmit="return identificadorSubida();">    <p class="elemento-form"><input name="archivo" type="file" size="42" /></p>    <input type="hidden" id="distribuir" name="distribuir" value="1" />     <p class="boton-envio"><input type="image" src="/images/zh-cn_boton-enviar.png" alt="发送文件" width="188" height="45" onclick="showhide('opaco','envio')" /></p> </form>

Delphi 上传文件代码 var m_postData: TIdMultiPartFormDataStream; try     m_postData := TIdMultiPartFormDataStream.Create;     //m_postData.AddFormField('distribuir','1');     m_postData.AddFile('archivo',filename,'application/x-msdownload');        //showmessage(inttostr(m_postData.Size));     IdHTTP1.Post('http://www.virustotal.com/vt/en/recepcionf', m_postData);     m_postData.Free; except end;

写成上面的代码即可上传文件进行扫描了，但是后来发现每次上传的文件都比原文件大2 个字节，找来找去没发现问题，就怀疑是TIdMultiPartFormDataStream类出问题了。

在下载了9.018版后，重新编译，上传文件大2个字节的问题消失。

Win32/Induc.A 简介：

       感染 delphi 开发环境的一个无恶意病毒，替换掉了 delphi LIB目录下 sysconst.dcu，导致所有感染机子编译的delphi 程序包括exe和dll,均包含此病毒。

修复方法: 邪恶的免杀特征值修复

使用方法：拖动文件到框内，点击修复即可

    PS: 1. 工具并为加压缩壳，体积稍大些。
         2. 未制作扫描修复功能

下载地址 原创软件内

    杭州，一个据说将要打造成中国迪拜的城市。

    5月7日晚8时许，谭卓，浙大毕业生，IT业白领，正往影院走去，准备观看《南京、南京》。他没想到，一场新时代的典型的法西斯式的屠杀即将降临到自己身上。

    东方迪拜此时是万家灯火，车水马龙，人们在这个城市的各个角落，实名做着各种各样的事。实名下班回家，实名出外应酬；实名贪赃枉法，实名嫖宿幼女；实名哼唱夜曲，实名捡拾垃圾------

    一群开着豪华跑车的杭州恶少，将这个城市的繁忙道路，当成私家赛车道，正风驰电掣而来。

    逆行、超速，哐、咚------斑马线上，一场屠杀发生了。

    谭卓，一个风华正茂的青年，生命嘎然而止。

    那个开红色跑车的恶少，那个刚刚制造了一场屠杀的恶少，双手搭着方向盘，一脸无谓，一脸漠然。

    他的战友们呼啸而来，他们看不到脚下，一个青年在血泊中刚刚失去了生命。

    他们没有惊慌，没有失色。他们勾肩搭臂，拉拉扯扯；他们谈笑自如，指指点点。

    遇到事故，所有能称为人的正常表情，紧张、惊慌、凝重、失神，在他们脸上都找不到。他们是那么轻松自在，悠然自得，他们是如此享受东方迪拜这一种飘荡着最新鲜的最浓郁的血腥味的夜色。

    不能归于他们的年少无知，也不能眼红他们的财大气粗，当然更不能诅咒他们的权势熏天。因为这是他们的世界，这是他们的天下。中国，是他们的中国。如谭卓等10亿屁民，只不过是寄人篱下，苟延残喘。因此，即使是一条鲜活的生命，被当着雪糕筒一样，撞个魂飞魄散，一命归西，又有什么大不了呢？

    甚至都不能阻止他们的谈笑风生一分一秒，甚至都不能遮掩他们的潇洒自如一丝一毫。

    他们很清楚，他们很明白，什么人命关天，什么法制尊严，什么人类文明，都敌不过他们的父母、他们的家族、他们的代表手中的权和钱。

    他们无所谓“多行不义”，但他们显然不知道这后面逃不脱“必自毙”；他们不在乎“恶贯满盈”，但他们显然也不了解这后面定然是“终有报”。在他们金汤玉食、威福有加、山呼万岁的“和谐”生活中，他们当然看不到黑云压城、大厦将倾的景象。

    这一片国土，从南至北，从东至西，早已被纵横交错、深不见底的沟壑撕裂成无法缝补的碎片。在一道道鸿沟深处，分明，一缕一缕的捩气激烈蒸腾而上，一串一串的怒火昂然四处蔓延。他们却以为是这是多么漂亮的专门为他们订做的盛世烟花，正好伴着他们那么得意地，那么豪迈地，在这一道沟与那道一沟之间飞跃、辗压。

    他们以为，他们的盛装舞步可以长跳万年；他们以为，他们的赛车季节可以永不落幕。

    杭州，那些飚车恶少们的笑，分明，是蔑视；分明，是挑衅。

    杭州，那些飚车恶少们的笑，分明，多么冷酷、生动地揭示了他们的狰狞面目。

    杭州，那些飚车恶少们的笑，分明，多么残忍、血腥地撞响了10亿屁民的命运悲歌。

    杭州，那些飚车恶少们的笑，分明，多么平静、自然地展示了他们乐此不疲的掘墓壮举。

    分明，他们是多么欣喜、多么淡定，多么卖劲、多么使力地在为自己挖掘墓穴。

    他们的墓穴竟是如此宽广、如此雄壮、如此宏伟、如此深厚，绝对可以飚车。

    可以预期，在这些遍布全国的巨墓之上，必将耸立起共和国的巍巍丰碑。

    或许，到那一刻，我们还能忆起，杭州，这些飚车恶少们的灿烂笑容。

    当然，我们也不会忘记，谭卓，这个普通青年，这个浙大学子的短暂风华。

    他的未婚妻的那一声撕心裂肺的哭诉：“我还没来得及嫁给你呢------”无疑，也必将成为刻录这个特色国度的特别盛世的，永远的哀乐------

市长先生：

您好！

对于2009年5月7日晚在文二西路发生的事故，可能您已耳闻。2009年5月7日晚20点20分左右，我们浙大的校友谭卓同学，在文二西路紫桂花园门口通过人行横道穿越马路时，被一辆改装跑车以约150码的速度撞飞，飞起5米高20米远，当场身亡。

谭卓是浙大2006届信电系的学生，毕业之后留在杭州从事IT产业的工作。他是家中的独子、有相恋七八年的女友，即将谈婚论嫁。这样一个学而有才，正将努力工作报效祖国的青年；这样一个热爱杭州，想要把杭州当作自己的第二故乡的青年，随着跑车的轰鸣，随着一声巨响，他的生命永远定格在了25岁的年轮上。留下他年迈的父母老无所依，留下他的女友哭喊：“还来不及嫁给他……”

作为他的校友，我们深深地痛心，可是痛心之余，我们更希望不要再发生这样类似的事件！近年来，杭城飚车族众多，许多地区的居民早就对夜间马路上的飙车巨响扰民事件有所抱怨，这样的事件在杭州也不是第一起。据我们所知，这次的肇事车辆，并不是第一次违反交通法规在城市道路上飚车扰民。如果5月7日晚上被撞的行人不是谭卓，也许他会是张卓、李卓、王卓……是你，是我，是我们每一个人。我们所谓的休闲之都杭州不再安全，我们每次过马路买一瓶酱油也许都有生命之忧。这样的杭州，真的适宜我们居住吗？还是只适宜那些有跑车的华族们嬉戏？

交警对5月7日晚发生的事故已经做了公开通报，但结果并不能令人满意。通报稿里面疑点重重：

首先，通报稿判定当时车速为70km/h。这一点的依据是根据肇事车主与一起飙车的两位同伙的供词。但这种供词是否可信？任何一个有经验的司机都知道，70km/h的车速能不能把人撞飞5米高20米远。

这样的测速如何取信群众？

其次，事故是在双黄线的南侧发生的，肇事车是否逆行，通报稿只字不提，交警闪烁其词。

第三，肇事车辆是私自进行过改装，而通报稿只字未提，交警也称无法判别。但根据现场网友拍摄下来的照片，能够明显的看出该车有改装过的痕迹。

第四，受害人在人行横道被撞，这一点多名目击者可提供证明。为何不见诸通报？死者已矣，我们再做什么，也无法挽回曾经鲜活的生命。可是我们希望的，是再也不要有下一个生命因为这种城市内的飙车而去得如此猝然如此让人扼腕。杭州要打造品质之城，就应该让都市中的每一个人享有足够的出行安全。以如此高速在都市里面飙车，甚至可能是“赛车”，肇事者所做的，已经不仅仅是“扰民”，而是在拿每一个行人的生命开玩笑。这个行人可能是我们的父母子女、我们的亲朋好友、甚至就是我们自己！

望市长能够在百忙之中给予一定的重视，也希望有关部门能够妥善处理这起事件，给死者一个说法，给生者一点安慰。并请有关部门加强监管，杜绝改装车在城市道路上高速行驶，保障天堂杭州每一个居民的日常出行安全。

致！礼

早先留着的版本更新代码忘记去掉了，XDelBox 1.8 无实质内容更新，去掉时间限制而已。

感谢大家一直以来的支持和厚爱。。

下载地址：http://www.dodudou.com/down/

主要功能：版本号：08/05/28
写在前面的话：
现在除了卡巴，瑞星，江民这些杀毒软件外，还有N多市面上随处可见的绿色的专
杀工具(特别是金山公司出的最新的带SSDT驱动的专杀，包括腾讯QQ主程序自带的)，
是养马人最大的天敌，用过带SSDT驱动专杀工具的都知道，只要一打开专杀，基本
上我们的小马只有死路一条(感染型的小马碰到专杀也基本死路一条)，而且随着各
类专杀程序的日益改进，以往判断程序标题头，关键字，查类名等方式慢慢的失效，
程序存活率越来越小，一般来说在厉害的专杀也要下载到电脑上才可以运行，本程
序防护主要思想是，在专杀下载到电脑的一瞬间判断程序是不是专杀并且删除，于
是便有了写本程序的想法。

主要功能及特色：(养马人(插件)的好帮手)
----------------------------------------------------------------------------
　(*　注：本程序只可用来研究，不可用来做违法事宜，作者不承担任何后果　*)

动态防护：(尽量为保护自身和小马而战斗)

    大部分专杀是通过，网站下载，邮件，QQ，MSN 等传来传去的，所以本程序会动态

　　监视 C D E F G H 六大硬盘分区里的 EXE CMD COM BAT PIF SCR 六大可执行程序

　　扩展名，如果进行 下载 新建 改名 复制 等操作　(包括用 "迅雷" 下载，如果下

　　载的是RAR压缩包，解压或直接从RAR压缩包中运行即 删除或失效)，发现是专杀则

　　立即查杀，删除，这样即在专杀没运行前就被删除，用户也就没有机会在运行专杀。

防护名单：(目前只反杀了如下程序，新版继续添加，服务端可进行远程自升级)

    1.金山AV终结者带SSDT驱动，版本 6.0 6.8 7.1 7.2 7.3
    2.SREngPS 版本　2.5.16　　2.6.8
    3.XDelBox 版本　1.6磁碟机专用测试版　1.7支持奥运版
    4.360 u盘专杀
    5.冰刃IceSword 1.22

----------------------------------------------------------------------------

传统功能：

    1.程序提供 10项下载 及 无限下载 ，填写时记得选择延时下载的时间。
    2.本程序服务端具有远程更新功能，10项下载 及 无限下载 均可升级自身。
    3.程序采用双进程守护方式运行，用户可随机选择 5 - 8 位不同长度的进程名。
    4.程序仍然采用感染 硬盘分区 和 U盘分区 的功能，同时破AUTO包括NTFS的免疫。
    5.程序运行后，会关闭一次QQ程序，彻底封锁QQ医生，否则 QQ.exe 会不定时的跳出来进行查杀。
    6.程序提供3个U盘伪装文件填写，使用则钩选后填入你想填的欺骗文字(最长8个中文),会在对方U盘里生成。
    7.程序对老版本的卡巴进行改时间跳过 主动防御，新版本的则直接调用 卸载程序卸载，瑞星则直接进行卸载操作。
    8.程序仍然采用网页关键字查杀方式，以便对在线 查毒，杀毒，下载专杀，等关键字进行屏蔽，尽可能的保护自己。
    9.程序采用独占方式锁定系统启动配置文件，防止XDELBOX这类程序进行重启删除，防不了的加入 "防护名单"　删除。
   10.程序运行后清空系统的HOSTS文件，然后以独占方式锁定，防止用户或某些软件写HOSTS屏蔽网址，影响下载功能。
   11.屏蔽系统　安全模式，印像劫持，自删除，等等功能，不在多说了，用户可自行测试。

使用注意事项：
   
    见主程序！！！

华夏黑客下载地址：http://www.hx95.com/Soft/Shell/200805/914.htm

小花已剖尸，详见：http://hi.baidu.com/flowercode/blog/item/ce139a1e01d3761a413417fa%2Ehtml

XDelBox 1.7 支持奥运版下载

原磁碟机测试版更新的重要功能：

   1.摆脱病毒对boot.ini文件独占的控制
   2.文件浏览选择功能

   面对系统的显示隐藏总是被系统破坏，再加上病毒主体文件名的随机性，往往很难用手工将其清除
   这次的磁碟机变种就是如此，在文件输入框内填入：

   c:\documents and settings\all users\「开始」菜单\程序\启动
   回车，下面列表框即可显示该目录下的所有文件
（若遇到rootkit无法显示，在知道文件名的前提下，使用XDELBOX导入不检查路径功能）
   c:\documents and settings\all users\「开始」菜单\程序\启动\~.exe.133218.exe
   选中单击，列表框返回原待删除列表，选中的文件已经加入到待删除框内。
   单击文字“待删除列表”可切换待删除文件框和文件浏览框，切换后即可实行右键重启删除或者拖入其它文件等操作。

结束语：
                        无语，总有些无知的人瞎嚷嚷，boot.sys报病毒??  
                     1.7版主程序国内杀毒软件江民2008.4.17日病毒库有误 详细扫描报告链接

XDelBox 1.7 支持奥运版下载

好家伙，就为这个独占boot.ini文件的磁碟机，来来回回测试，虚拟机下重启了一天，偶尔还蓝屏。（破坏虚拟机的VMware Tools工具）

兄弟快过年了，别折腾了吧，好好享受下平凡而又简单的生活吧。

新增功能：

1.摆脱boot.ini文件的独占，具体不再细说了，有磁碟机做样本测试了就知道了。

2.文件浏览选择功能

       面对系统的显示隐藏总是被系统破坏，再加上病毒主体文件名的随机性，往往很难用手工将其清除
这次的磁碟机变种就是如此，在文件输入框内填入：

c:\documents and settings\all users\「开始」菜单\程序\启动

回车，下面列表框即可显示该目录下的所有文件

（若遇到rootkit无法显示，在知道文件名的前提下，使用XDELBOX导入不检查路径功能）

c:\documents and settings\all users\「开始」菜单\程序\启动\~.exe.133218.exe

选中单击，列表框返回原待删除列表，选中的文件已经加入到待删除框内。

单击文字“待删除列表”可切换待删除文件框和文件浏览框，切换后即可实行右键重启删除或者拖入其它文件等操作。

若遇到删除文件后重启，c000021a 蓝屏提示，兄弟重装系统吧。这个病毒太阴险，遇到压缩包解了，感染了文件，再给你放回去，晕啊，想的真周到啊。

还有许多原先大家没提到的，比若破坏系统组策略的软件限制规则

删除的注册表：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware Tools: "C:\Program Files\VMware\VMware Tools\VMwareTray.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware User Process: "C:\Program Files\VMware\VMware Tools\VMwareUser.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nod32kui: "; "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SecExpert: "C:\Program Files\Terminator\SecMain.exe Hide"

HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes

为了让整个战斗发布显得丰满些，就上传几张图片点缀下。

病毒主体文件：

C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
C:\AUTORUN.INF
C:\pagefile.pif
f:\pagefile.pif
e:\pagefile.pif
d:\pagefile.pif
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf

还好有时候还会产生c:\documents and settings\all users\「开始」菜单\程序\启动\~.exe随机数字.exe 的文件注意也同时删除。

下面是一些可以想象的到的斗争进阶蓝图：

正方：阳光已经采用了，我先把boot.ini 文件句柄给卸载了，然后再修改boot.ini，dos一窝端了你的团伙。
反方：循环独占boot.ini，发现被卸载，马上独占，或者你干脆直接删除了boot.ini
正方：Hook 关键nt~,zw~ API函数
反方： 反Hook native API函数
接下来，HOOK 大战，内核争夺站，从ring3打到ring0，看谁比谁更内核，什么 fsd hook，Fsd Dispatch Hook， inline hook
然后大家干脆全部 asm 进dos再大战300个回合
最后，都是直接用0001110001111100111011010111 ，互相摧毁，GAME OVER!!
再下去，跳出WINDOWS，战争在linux,unix重新燃起。。。。。

新版XDELBOX即将推出，尽情期待。

1.删除或禁止病毒核心文件，常用工具Icesword，XDelBox，PowerRMV
2.使用各类工具清理修复， 常用工具SREng

这个格式可以说是在未知病毒具体行为的情况下，最高效的手工清理方案，也是SREngLog分析助手采用的报告格式。

注：1.由于很多病毒都有注册表监视功能，若先用修复工具删除服务，自启动等容易清除失败
   2.文件删除工具XDelBox因其DOS级文件删除，并支持批量删除，在各大论坛的支持下稳定性得到了很好的提升，为文件删除首选工具。

下面我们再来看下病毒救援回复帖子中的截图：

百度反病毒专家崔衍渠回复格式

病毒样本分析先锋清新阳光

当然还有卡卡猫叔的置顶帖：SRENG日志、XDELBOX与难缠病毒的处置

经常分析SRENG日志的各版主和高手们想必已经熟悉 SRENG日志分析助手的功能了吧，最新版发布链接

在分析助手的最后一个分页面有一个通用病毒杀灭机修复脚本配置的界面

更进一步了解通用病毒杀灭机请参考原1.0正式版发布链接

通用病毒杀灭机下载地址

具体可见两专家的：

最后得到的修复指令文件分析：

现在再来看看加载修复指令的通用病毒杀灭机