baohe - 2009-5-24 14:50:00
这个goto.exe运行后,释放一个dll,以服务加载。serviceDLL哦!貌似比较NB的样子。
对付这个goto.exe,实在用不着大动干戈。
这类小毒,就是用来调戏的。
——————————————————
发现目标
不能直接删除
想玩儿?那就调戏之^_^!
重启一下,就可删除它。
光有个服务项----管个P用!
删了,就行了。
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
soaika - 2009-5-24 14:54:00
猫叔厉害~ 学习了
smallyou93 - 2009-5-24 15:25:00
:kaka16: 猫叔玩些比较厉害的毒吧
baohe - 2009-5-24 16:31:00
原帖由 赵海龙 于 2009-5-24 16:27:00 发表
象这类删不掉的病毒能粉碎么!
杀毒,最好别老惦记玩儿狠招。杀毒是斗智的过程。
夲號ヱ被ジ盜 - 2009-5-24 17:25:00
不应该在这发
这菜鸟学堂[/size=6]
明白?
baohe - 2009-5-24 17:30:00
原帖由 夲號ヱ被ジ盜 于 2009-5-24 17:25:00 发表
不应该在这发
这菜鸟学堂[/size=6]
明白?
菜鸟,不就需要简单的办法么?
超级游戏迷 - 2009-5-24 17:53:00
同意猫叔。
这个案例讲述了这么几个系统基础知识:
1、服务(驱动程序)是特殊的启动项,系通过注册表项启动和加载;
2、正在运行的程序在WINDOWS下,一般是不能直接删除的;
3、服务映像文件加载,是与注册表键值对应的映像文件路径一一对应的,一旦映像文件路径、文件名改变,将直接导致重启电脑后服务加载失败,当服务映像文件加载失败时,它不处于活动状态,就可以删除了。
注意,如果在服务映像文件已经被加载的情况下,即便对其改名或移动路径,也是不能用常规办法删除的,因为这个被改名和改路径的文件依然处于活动状态。而重启电脑后,服务按照注册表指定键值重新加载,那么被修改路径或文件名的服务映像文件将不能被加载,无法进入活动状态,故在此情况下就能删除它。
超级游戏迷 - 2009-5-24 18:16:00
通过以上案例,我们可以有这些个思路:
处理以服务加载的病毒,方法有二:
1、破坏服务注册表项,造成重启电脑后服务加载失败。
一般方法:
(1)删除指向病毒映像文件的注册表键值;
(2)修改注册表中服务映像文件的路径或文件名。
2、破坏服务映像文件。
一般方法:
(1)用强删除工具删除服务映像文件;
(2)用特殊方法替换服务映像文件的内容,使之无害。这个方法应用较少,有的难度也较高,比如用可执行文件编辑工具用正常代码覆盖病毒代码等,另外还可用冰刃的copy to(使用这个方法的人估计不太多)。
以上两种方法,实际核心内容是一致的,主要是破坏病毒文件的加载过程,只是破坏的对象不同,但效果基本相同(对一些特殊的有进程守护的病毒,以上部分方法可能会失败)。
你讓我傷心 - 2009-5-24 20:35:00
好难删除哦:kaka6:
gpsmmmm - 2009-5-24 21:15:00
这......
删除方法够简单......
这个也算调戏?
过客2007 - 2009-5-25 18:41:00
向猫管学习了.
J_muse - 2009-5-27 10:09:00
学习了
iiiihhggffd - 2009-6-5 22:31:00
帅:kaka1:
daemonz - 2009-6-12 8:57:00
学习了,以后调戏小毒
lucipher - 2009-6-21 21:23:00
高招,领教了
Oo愛z殤z恨oO - 2009-6-22 13:46:00
猫哥好厉害!最好下回调戏一下像机器狗那样的厉害病毒,呵呵!
坤前独后 - 2009-6-22 20:19:00
怎样一眼就能从一大堆文件中辨别出病毒呀
© 2000 - 2024 Rising Corp. Ltd.
