逍遥浪子45 - 2007-6-8 19:28:00
相关处理结果见
http://forum.ikaka.com/topic.asp?board=28&artid=8321467&page=1
专杀工具见
http://forum.ikaka.com/topic.asp?board=28&artid=8321490
猫叔,前些日子写的那关于 假如病毒通过IEFO劫持XP系统升级的问题 本人找了下那键值,老觉得眼熟,翻了翻以前收集的批处理程序,终于发现了那程序原来是通过IEFO劫持
将病毒本体禁止运行,想法实在是不错.
这里公布点实用的禁止病毒运行的代码,毕竟我们写程序就是为了服务大家的,虽然很多人看不起批处理程序,但我希望能加精!~
用IEFO劫持禁止病毒运行1:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Control Panel\Desktop]
"AutoEndTasks"="1"
"HungAppTimeout"="200"
"WaitToKillAppTimeout"="200"
"WaitTOKillService"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL]
@="0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
"NoPopUpsOnBoot"=dword:00000001
[HKEY_CLASSES_ROOT\lnkfile]
@="快捷方式"
"EditFlags"=dword:00000001
"NeverShowExt"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D}]
@="Printers"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer]
"Link"=hex:00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000003
[HKEY_USERS\.DEFAULT\Control Panel\Desktop]
"FontSmoothing"="2"
"FontSmoothingType"=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MaxConnectionsPer1_0Server"=dword:00000008
"MaxConnectionsPerServer"=dword:00000008
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control]
"WaitToKillServiceTimeout"="1000"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Shareaza.exe]
"Debugger"="c:\\中国超级BT.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\4047.exe]
"Debugger"="c:\\中国超级BT捆绑的病毒.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TuoTu.exe]
"Debugger"="c:\\P2P类.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qqfo1.0_dl.exe]
"Debugger"="c:\\P2P类.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SuperLANadmin.exe]
"Debugger"="c:\\破坏类.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinPcap30.exe]
"Debugger"="c:\\破坏类.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinPcap.exe]
"Debugger"="c:\\破坏类.exe"
保存为保存为.reg的文件,运行导入即可!需要禁止的病毒程序可以自己修改最后一个参数!
禁止病毒运行方法2:
for /f "delims=" %%i in (disable.ini) do (
if %%i neq setup.exe (reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v !no_! /d %%i /f >nul)
set /a no_+=1
)
echo.&echo 有 !no_! 个怀疑病毒文件被列入禁止运行表。
echo.&echo 正在创建病毒免疫文件......
for /f "delims=" %%p in (logo.txt) do (
if exist %%p (
cacls %%p /e /t /p everyone:F >nul 2>nul
attrib -r -s -h -a %%p >nul 2>nul
del /q %%p >nul 2>nul
rd /q %%p>nul
)
md %%p&attrib +s +r +h +a %%p >nul 2>nul
cacls %%p /e /t /d everyone >nul 2>nul
)
里面的disable.ini就是放病毒文件名称,发现新病毒只要把该文件写入禁止运行表disable.ini里面,这个请保存为.BAT文件,复制代码到记事本里面,同样disable.ini也是由记事本构成,把需要禁止运行的病毒写入记事本然后保存为disable.ini就可以了!~
禁止病毒运行3:
:fix
@echo ************************************************************
@echo # #
@echo # 正在进行免疫操作,请稍侯... #
@echo # #
@echo ************************************************************
:: 下一句中的 "全盘禁止运行%%i" 可以替换成任意的字符,都能起到全盘禁止运行指定exe的效果
for /f %%i in (list.ini) do (
reg add "%route%\%%i" /v Debugger /t REG_SZ /d 全盘禁止运行%%i /f >nul 2>nul
)
@cls
@echo *********************************************************************
@echo # #
@echo # 已限制威金、熊猫、金猪、兔宝宝、番茄花园病毒的运行,由于变种迅速 #
@echo # #
@echo # 如果中了以上病毒,请在list.ini文件写入病毒进程,以达到禁止病毒 #
@echo # #
@echo # 运行的目的, 运行本程序后,请使用杀软对电脑进行杀毒! #
@echo # #
@echo *********************************************************************
@echo.
@echo 按任意键退出
@pause>nul 2>nul
GOTO EXIT
list.ini文件和上面操作的一样创建.同样保存为.BAT文件再运行.
有病毒问题可以和我联系,QQ在线技术支持:422547345,由于我爱好写批处理,以后将在猫叔分析病毒后争取在第一时间写出批处理杀毒程序,大家配合才能将事情办好啊!~,呵呵,虽然是自做多情,估计看到的没几个人欣赏,但是,我依然决定把我的成果给大家分享..
浪子依然是浪子,做真实的自己,或许会感觉充实!~呵呵
天月来了 - 2007-6-8 19:52:00
当然不错了。
能在这样的东西里轻松加入,自然不错了哦。
baohe - 2007-6-8 19:54:00
这招效果有限。
如今,流行随机文件名病毒。
天月来了 - 2007-6-8 19:55:00
不知你这个被拿来恶意禁止系统的东西怎样???????
嘻嘻!!!!!!!!!
天月来了 - 2007-6-8 19:57:00
| 引用: |
【baohe的贴子】这招效果有限。
如今,流行随机文件名病毒。
……………… |
但是对于已经知道病毒主程序名的,应该还将就吧?????
不知将8位数的那个变种的连WinRAR都被劫持的主程序写入效果怎样???????
哪位试试哦。
baohe - 2007-6-8 20:04:00
| 引用: |
【天月来了的贴子】
但是对于已经知道病毒主程序名的,应该还将就吧?????
不知将8位数的那个变种的连WinRAR都被劫持的主程序写入效果怎样???????
哪位试试哦。
……………… |
通过IFEO劫持WINRAR——————易如反掌。
理论上,通过IFEO劫持winlogon.exe(让你进不了系统),也是小菜一碟!说不定哪天就会出个这类恶搞病毒。
天月来了 - 2007-6-8 20:04:00
不过你说的还不够详细,应该更明确指出例如阳光关于8位数那个病毒处理贴里,那个必须先停了的“*.exe”和“*.dll”到底怎么替换在你这批处理里面。
呵呵!!!!!!!!!!!
求助的并不是看了就能会捣鼓的。
逍遥浪子45 - 2007-6-8 20:04:00
呵呵,那个随机的病毒难对付来着,我写了些专门对付DLL木马,对付木马病毒的进程分析程序,写了对付木马禁止运行的程序,哪位给点思路,怎么判断随机的木马名称?难道叫写个批处理搜索所有数字命名的EXE,全部DEL?严重汗下自己...
baohe - 2007-6-8 20:08:00
这种IFEO劫持对抗没有什么意思。
关键是————瑞星等杀软应该增加IFEO键的监控、报警功能。这才是正路。
baohe - 2007-6-8 20:10:00
| 引用: |
【天月来了的贴子】
猫猫哦
又怎么捣鼓呢????????????
说说呢,学学哦,
总不成,又是弄那注册表????????
……………… |
最简单的办法————让WINRAR.EXE通过Debugger调用自身即可。
一会儿贴图给你看。
天月来了 - 2007-6-8 20:10:00
| 引用: |
【逍遥浪子45的贴子】呵呵,那个随机的病毒难对付来着,我写了些专门对付DLL木马,对付木马病毒的进程分析程序,写了对付木马禁止运行的程序,哪位给点思路,怎么判断随机的木马名称?难道叫写个批处理搜索所有数字命名的EXE,全部DEL?严重汗下自己...
……………… |
你也笨死了,又不是要你先知先觉的处理。
是说已中毒的,并且知道主程序名的,你没见这求助的吗?
啥工具都开不了哦,可还是能看到主程序名的,所以你得先教中毒的看主程序名,然后再教将名字放在你的批处理的位置。
必须举实例哦。
并不是真的可以处理所有随机名病毒,是单一处理。
逍遥浪子45 - 2007-6-8 20:17:00
| 引用: |
【天月来了的贴子】
你也笨死了,又不是要你先知先觉的处理。
是说已中毒的,并且知道主程序名的,你没见这求助的吗?
啥工具都开不了哦,可还是能看到主程序名的,所以你得先教中毒的看主程序名,然后再教将名字放在你的批处理的位置。
必须举实例哦。
并不是真的可以处理所有随机名病毒,是单一处理。
……………… |
好吧,一会我去找下求助贴,来个实例!~
baohe - 2007-6-8 20:18:00
| 引用: |
【天月来了的贴子】嘻嘻
就喜欢看猫猫动好玩的手段。
我学啊
……………… |
附件:
155847200768200821.jpg
baohe - 2007-6-8 20:32:00
baohe - 2007-6-8 20:34:00
baohe - 2007-6-8 20:35:00
天月来了 - 2007-6-8 21:03:00
呵呵!!!!!!!!!!!
可惜中8位数新变种毒的那些,都打不开这些了。
阳光下午说可以改病毒名,我估计难了哩。
33887 - 2007-6-8 21:15:00
| 引用: |
【天月来了的贴子】
是啊
瑞星必须加那功能了。
不然非得折腾死。最好能固死那键才好。
……………… |
我用卡巴,虽然有注册表监控,但是要自己去另外添加规则才能监视IEFO
可见杀软对这类的行为不大重视.瑞星的注册表监控对冰刃的运行居然没反应,要知道冰刃这类的要获得系统权限的软件改写注册表,监控不到是不是不够完善.看来瑞星要加强注册表监测功能了
小职员online - 2007-6-8 21:37:00
呵呵,原来这里的朋友也喜欢利用IEFO把。exe指向没用的程序。很多病毒也用这个办法劫持掉杀毒软件。
只是如果把。exe改称。scr程序照样运行。不知各位有没有办法呢?
小职员online - 2007-6-8 21:44:00
我觉得没必要啦。写进去又如何?
借鉴下avp.exe和avp.com,瑞星备用个。scr就好了
loveperday - 2007-6-8 21:48:00
偶只关心猫叔的那个注册表编辑器是啥?看上去比普通这个好多了。。。
琼台听雨 - 2007-6-9 0:44:00
指向未知方向的,刚刚才被搞过,MSCONFIG 被劫持……
唉,这些对于我们新手是越来越难防了
清风风情 - 2007-6-9 1:13:00
限制法。。
它要修改Image File Execution Options,所先要有权限,才可读,于是。。一条思路就成了。。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
然后还是展开到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
记得把有管理权限用户都要进行设置!然后选上“权限”勾选“拒绝”按确定后会有个提示,然后点确定就可以拉!
嗯了,
清风风情 - 2007-6-9 1:18:00
限制法。。
它要修改Image File Execution Options,所先要有权限,才可读,于是。。一条思路就成了。。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
然后还是展开到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
记得把有管理权限用户都要进行设置!然后选上“权限”勾选“拒绝”按确定后会有个提示,然后点确定就可以拉!
嗯了,
逍遥浪子45 - 2007-6-9 18:00:00
呵呵,这个权限不是问题,病毒完全可以突破那问题,关键是那病毒现在使用的比较智能,它会先删除掉
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
再重新创建那项目,然后添加自己要劫持的程序名字,这点好象有点和批处理一样,用批处理也完全可以做到!~汗...那如何才能禁止那病毒劫持呢?我认为把要运行的程序随便修改下名字,那限制等于无效的,呵呵,昨天处理了个关于那劫持的 随机8位字母数字.EXE
那病毒很好处理来着,一会放上处理结果,步骤...
© 2000 - 2026 Rising Corp. Ltd.
