跳动百科

军用机械狗(机械狗)

金宁曼
导读 大家好,我是小跳,我来为大家解答以上问题。军用机械狗,机械狗很多人还不知道,现在让我们一起来看看吧!1、经过几个晚上的反复试验,我...

大家好,我是小跳,我来为大家解答以上问题。军用机械狗,机械狗很多人还不知道,现在让我们一起来看看吧!

1、经过几个晚上的反复试验,我终于在昨晚找到了可以说是目前最新最有效又最简单的防止机器狗穿透还原的方法!原理如下: 众所周知,机器狗或IGM变种能成功穿透还原,并狡猾地利用了userinit.exe这个系统必须的登录文件,将其更改成木马下载器,从而……我们防病毒方法一般都是被动地免疫了事,但对这个特殊文件却是不能免疫、不能删,改注册表改名也无济于事,也就怪不得这条狗要凶这么久了。

2、总而言之,userinit.exe才是防止穿透的唯一突破口。

3、于是,我就瞄准这个userinit.exe突破口,要好好保护它不被穿透更改为致命关键!于是,我试过N种方法来保护这个文件,但都因为这文件开机的特殊性失败了!昨晚,我忽然想到了另一点,机器狗穿透的是EXE文件,如果我用别的非EXE文件来代替开机的userinit.exe,结果会怎样呢?我首先想到用个批处理,里面代码只要写上个真正的userinit.exe执行命令就可以,这样就不影响开机,而机器狗能在注册表读取到的userinit键值只是这个简单的批处理,那么它要穿透的也只有这个批处理!测试结果真的大快人心,这条狗根本就没更改批处理,或者说,它拿批处理反而没办法!其实也是,批处理写的代码不到30个字节,这条狗怎么穿透更改都是有限的。

4、顺便介绍下,这狗很聪明,穿透更改后,文件的日期和大小都不变的,还真厉害!但用FC却能对比出文件代码是变动了,所以我前几天发的加料免疫中,有个开机对比检测批处理还是有很大效果的。

5、好了,废话不多说了,看实际操作步骤: 首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。

6、 2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下: start FUCKIGM.exe (呵呵,够简单吧?) 3、修改注册表键值,将userinit.exe改为userinit.bat。

7、内容如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] "Userinit"="C:\WINDOWS\system32\userinit.bat," 就这3步,让这条狗再也凶不起来!我是在XP和2003测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机啊游戏啊均无异常!win2000就没做测试了,但原理应该相通吧?这方法虽巳测试成功,但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!有经验的朋友可能要提议了,消除黑框用VBS或将BAT文件用幽灵软件转换啊?对不起,这两个方法我也分别做了测试的,改为VBS系统就不能启动了(可能是userinit.exe这个程序的特殊性吧?),而将BAT文件用幽灵软件转换成EXE文件后,那又上了机器狗的圈套,这条狗可要乐坏了,当然照穿不误!所以,目前开机黑框我是没能力取消的,看贴的友如果能取消的还请指点下! 最后,我将这3步做成一个批处理文件,各位下载后,要开放了还原后再执行,执行完毕会自动删掉该批处理的,那可是相当的绿色!从此,这条恶狗不再烦你,同胞们该游戏的游戏,该泡妞的泡妞,该…… 对付病毒,人人有责!所以,测试过有效的朋友,请跟贴声明下效果!让别的朋友不再走弯路。

8、若还有别的问题,也请跟贴说明下,让我们一起努力解决! 顶起来,让更多的同胞们脱离苦海——这也是你的责任了! 国际惯例,附上批处理源代码: @echo off :::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe cd /d %SystemRoot%system32 copy /y userinit.exe FUCKIGM.exe >nul :::创建userinit.bat echo @echo off >>userinit.bat echo start FUCKIGM.exe >>userinit.bat :::注册表操作 reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit /t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul :::删掉自身(提倡环保) del /f /q %0 最新完美补充----消除黑框,方法更简单更直接(这个补充就称方法2吧) 为了消除黑框,我又继续研究了下,不料又发现了更简单更直接的办法:直接更改系统无毒userinit.exe的后缀名为BAT(或者CMD和COM),再更改相应的注册表键值即可! 原理就是一句话,病毒穿透代码只能作用于EXE文件才生效!方法2我同样在XP和2003试验了N遍,证明是可行的!现再次提供方法2的批处理代码(以改后缀名为BAT作例子): @echo off :::直接复制系统system32下的无毒userinit.exe为userinit.bat cd /d %SystemRoot%system32 copy /y userinit.exe userinit.bat >nul :::注册表操作 reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit /t REG_SZ /d "C:WINDOWSsystem32userinit.bat," /f >nul :::删掉自身(提倡环保) del /f /q %0 是不是比方法1简单明了的多?我在代码中始终保留userinit.exe只是为了加多重保险和保证系统运行的兼容性,因为注册表有些键值还要用到它。

9、但我试过没保留它也没出现什么异常!那就交给朋友们自己决定吧!另外要解释下,复制出来的userinit.bat其实并不是真的批处理文件,它运行起来和EXE文件执行的效果是一样的,原因嘛……还是问微软吧,他们设计的东东,超复杂!我是不懂的了!所以,既然不是真的批处理,那黑框当然就不存在的,朋友们是不是感觉好多了? 这两种方法,我个人感觉还是第一种更可靠,虽然它并不完美!但病毒要攻破它是有相当难度的!而第二种方法就因为太直接了点,假以时日,病毒作者可能会攻克这种改了后缀还能照常运行的程序,比较让人担忧!不管怎样,目前我自己还是选方法2的,但方法1还是留作后备吧。

10、 最后再啰嗦一句,为了其他仍处在水深火热中煎熬的同胞们,请你尽可能将使用结果反馈回来!谢谢合作!Good Luck ! 温馨提示:昨天用了方法1的朋友,如果想换方法2,直接执行方法2批处理即可,没任何冲突,只是多了个昨天的FUCKIGM.exe 2、用双系统的朋友打补丁时,要注意修改注册表的键值!否则键值默认都是在(C盘)"C:WINDOWSsystem32userinit.bat," 关于远程调用说明: 有朋友提到能远程调用就好了!呵呵,我何尝不想?我也是懒人一个!我分析的结论是,远程调用还是能起到一定作用的,关键是在注册表做文章。

11、当系统正常启动成功后,我们利用远程维护通道,马上将注册表键值改成一个莫须有的文件名,再在system32下复制一份莫须有的userinit.exe(引诱病毒上当),那么,系统在使用中假如中了机器狗,病毒也只能读取到莫须有的键值,从而感染那个假的userinit.exe,真的它就改不了!重启后,因为注册表不会被改动,还是能正常读取到没被感染的userinit.exe的!远程批处理代码提供如下: cd /d %SystemRoot%system32 copy /y userinit.exe FUCKYOU.IGM >nul reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit/t REG_SZ /d "C:WINDOWSsystem32FUCKYOU.IGM," /f >nul。

本文到此讲解完毕了,希望对大家有帮助。