原创 偷梁换柱气死恶狗 斧底抽薪防止穿透 11 2

原创 偷梁换柱气死恶狗 斧底抽薪防止穿透 11 2 原创 偷梁换柱气死恶狗 斧底抽薪防止 穿透 11 2 今天从早上9点多一直测试到现在，结论是:方法1和2均被穿透了，方法3依然安全～我还是用www。77bbb。com 网站测试(从另外角度来说,还是很感谢这网站，它提供的最新变种起码起到了测试和敲响警钟的作用～)，并提取出机器狗主程序explorer.exe做单独测试～在不作任何免疫的情况下，均能在开机运行穿透了的病毒userinit.exe～具体分析了下，根本原因在于方法1和方法2均保留了userinit.exe，给病毒穿透留下了祸根～可喜的是，换了名的并真正开机运行的userinit.exe(如FUCKIGM.exe和userinit.bat)却完全正常的～所以，如果用了方法1和方法2的朋友万一被穿透了，你只需先断网，再开放一次还原，进系统后直接删除掉userinit.exe就一切恢复正常了～看来我以前保留userinit.exe的想法是不成熟的～给大家造成不便，请原谅啊～而方法3之所以还安全，道理都明白，因为狗狗要穿透的载体userinit.exe不存在了～鉴于此，我略为修改了下方法1和方法2，将userinit.exe彻底删除掉～如果朋友们巳经使用了方法1或方法2的，直接先开放一次还原，进系统删除掉userinit.exe即可～或者直接使用我修改过的方法1和方法2都可以的。总的来说，修改后的方法1和方法2，再加上原来的方法3，均可以防止至今天为止的最新变种～ 方法1:感谢朋友提醒，修正了其执行多次会导致开机出现“我的文档”的问题! 众所周知，机器狗或IGM变种能成功穿透还原，并狡猾地利用了userinit.exe这个系统必须的登录文件，将其更改成木马下载器，从而„„我们防病毒方法一般都是被动地免疫了事，但对这个特殊文件却是不能免疫、不能删，改注册表改名也无济于事，也就怪不得这条狗要凶这么久了。总而言之，userinit.exe才是防止穿透的唯一突破口。于是，我就瞄准这个userinit.exe突破口，要好好保护它不被穿透更改为致命关键～于是，我试过N种方法来保护这个文件，但都因为这文件开机的特殊性失败了～昨晚，我忽然想到了另一点，机器狗穿透的是EXE文件，如果我用别的非EXE文件来代替开机的 userinit.exe，结果会怎样呢,我首先想到用个批处理，里面代码只要写上个真正的userinit.exe执行命令就可以，这样就不影响开机，而机器狗能在注册表读取到的userinit键值只是这个简单的批处理，那么它要穿透的也只有这个批处理～测试结果真的大快人心，这条狗根本就没更改批处理，或者说，它拿批处理反而没办法～其实也是，批处理写的代码不到30个字节，这条狗怎么穿透更改都是有限的。顺便介绍下，这狗很聪明，穿透更改后，文件的日期和大小都不变的，还真厉害～但用FC却能对比出文件代码是变动了，所以我前几天发的加料免疫中，有个开机对比检测批处理还是有很大效果的。好了，废话不多说了，看实际操作步骤: 1、首先在系统system32下复制个无毒的userinit.exe，文件名为FUCKIGM.exe(文件名可以任意取)，这就是下面批处理要指向执行的文件～也就是开机启动userinit.exe的替代品～而原来的userinit.exe保留～其实多复制份的目的只是为了多重保险～可能对防止以后变种起到一定的作用。 2、创建个文件名为userinit.bat的批处理(文件名也可任意取，但要和下面说到的注册表键值保持一致即可)，内容如下: start FUCKIGM.exe (呵呵，够简单吧,) 3、修改注册表键值，将userinit.exe改为userinit.bat。内容如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.bat," 就这3步，让这条狗再也凶不起来～我是在XP和2003测试的，双击机器狗后，没什么反应，对比批处理也是正常，即这狗根本没改动它～开关机 啊游戏啊均无异常～win2000就没做测试了，但原理应该相通吧,这方法虽巳测试成功，但唯一美中不足的是，采用经典模式开机的启动时会出现个一闪而过的黑框～有经验的朋友可能要提议了，消除黑框用VBS或将BAT文件用幽灵软件转换啊,对不起，这两个方法我也分别做了测试的，改为VBS系统就不能启动了(可能是userinit.exe这个程序的特殊性吧,)，而将BAT文件用幽灵软件转换成EXE文件后，那又上了机器狗的圈套，这条狗可要乐坏了，当然照穿不误～所以，目前开机黑框我是没能力取消的，看贴的朋友如果能取消的还请指点下～ 最后，我将这3步做成一个批处理文件，各位下载后，要开放了还原后再执行，执行完毕会自动删掉该批处理的，那可是相当的绿色～从此，这条恶狗不再烦你，同胞们该游戏的游戏，该泡妞的泡妞，该„„ 对付病毒，人人有责～所以，测试过有效的朋友，请跟贴声明下效果～让别的朋友不再走弯路。若还有别的问题，也请跟贴说明下，让我们一起努力解决～ 顶起来，让更多的同胞们脱离苦海——这也是你的 责任 安全质量包保责任状安全管理目标责任状8安全事故责任追究制幼儿园安全责任状占有损害赔偿请求权 了～ 国际惯例，附上批处理源代码: @echo off :::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe cd /d %SystemRoot%\system32 copy /y userinit.exe FUCKIGM.exe >nul del /f /q userinit.exe >nul :::创建userinit.bat if exist userinit.bat del /f /q userinit.bat echo @echo off >>userinit.bat echo start FUCKIGM.exe >>userinit.bat :::注册表操作 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul :::删掉自身(提倡环保) del /f /q %0 方法2:----消除黑框,方法更简单更直接 为了消除黑框,我又继续研究了下,不料又发现了更简单更直接的办法: 直接更改系统无毒userinit.exe的后缀名为BAT(或者CMD和COM)，再更改相 应的注册表键值即可～ 原理就是一句话,病毒穿透代码只能作用于EXE文件才生效!方法2我同 样在XP和2003试验了N遍，证明是可行的～现再次提供方法2的批处理代码 (以改后缀名为BAT作例子): @echo off :::直接复制系统system32下的无毒userinit.exe为userinit.bat cd /d %SystemRoot%\system32 copy /y userinit.exe userinit.bat >nul del /f /q userinit.exe >nul :::注册表操作 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul :::删掉自身(提倡环保) del /f /q %0 是不是比方法1简单明了的多?我在代码中始终保留userinit.exe只是为了加多重保险和保证系统运行的兼容性，因为注册表有些键值还要用到它。但我试过没保留它也没出现什么异常～那就交给朋友们自己决定吧～另外要解释下，复制出来的userinit.bat其实并不是真的批处理文件，它运行起来和EXE文件执行的效果是一样的，原因嘛„„还是问微软吧，他们设计的东东，超复杂～我是不懂的了～所以，既然不是真的批处理，那黑框当然就不存在的，朋友们是不是感觉好多了, 这两种方法，我个人感觉还是第一种更可靠，虽然它并不完美～但病毒要攻破它是有相当难度的～而第二种方法就因为太直接了点，假以时日，病毒作者可能会攻克这种改了后缀还能照常运行的程序，比较让人担忧～不管怎样，目前我自己还是选方法2的，但方法1还是留作后备吧。 关于远程调用说明: 有朋友提到能远程调用就好了～呵呵，我何尝不想,我也是懒人一个～我分析的结论是，远程调用还是能起到一定作用的，关键是在注册表做文章。当系统正常启动成功后，我们利用远程维护通道，马上将注册表键值改成一个莫须有的文件名，再在system32下复制一份莫须有的userinit.exe(引诱病毒上当),那么，系统在使用中假如中了机器狗，病毒也只能读取到莫须有的键值，从而感染那个假的userinit.exe，真的它就改不了～重启后，因为注册表不会被改动，还是能正常读取到没被感染的userinit.exe的～远程批处理代码提供如下: cd /d %SystemRoot%\system32 copy /y userinit.exe FUCKYOU.IGM >nul del /f /q userinit.exe >nul reg add "HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d NT "C:\WINDOWS\system32\FUCKYOU.IGM," /f >nul 懒人朋友就先用这个远程调用的，等重做母盘或游戏更新时，最好采用方法1或方法2吧。 方法3:以“毒”攻毒，过河拆桥～ 因为上两种方法都要将真实的userinit.exe易名和修改注册表，那就给使用PUBWIN2007和VD1.3的朋友造成了不便，以至不能使用上述方法～于是，这两天我又开始折腾，还算找到一个折衷的办法:不动注册表，不易名，只是将userinit.exe加多个运行后就马上删除自身的功能～具体介绍如下: userinit.exe负责正常开机启动后，就基本没什么作用，这点相信大家都有共识了。可以说，留住它就给机器狗创造了穿透的机会～所以，我用软件给userinit.exe搞了点装修，让它完成使命后就人间蒸发。文件都没了，恶狗还穿透个啥子,——此乃“过河拆桥”～ 改动程序对我而言，纯粹鸡同鸭讲～因为我对编程是多窍不通。但我找到款好用的捆绑工具，用它就轻松地实现了我的目的～因为此做法是按制作捆绑木马的方式实现的，所以，用“假木马”对付“机器狗”，又称之——以“毒”攻毒～ 看帖的朋友请放心，我是用一个0字节的FUCKIGM.exe文件和无毒的userinit.exe捆绑在一起的，制作出来的文件绝对是无毒的，而且运行速度和原版毫无区别。不过要注意的是,在启动运行userinit时,会临时伴随一个 mmm.dat进程,这是用来监控userinit的,一旦userinit运行完毕,它也随之终止,不占系统资源,不写注册表，也不影响开机速度!具体制作方法和制作软件我不便公布，不然我可能要被论坛删ID了，这点希望大家能理解。考虑到大家使用不同系统的原因，我就制作好3个版本的userinit.exe供大家下载试用，分别是: 提供下载的附件适用系统版本号为:(给大家一个提示:我曾将2003的两个版本用在XP上,启动也是正常，难道它们能通用,呵呵，这点大家自己分析吧) WindowsXp Sp2: 5.1.2600.2180 Win2003EE Sp1: 5.2.3790.1830 Win2003EE Sp2: 5.2.3790.3959 若有朋友觉得此法可行，但需要其它版本号的，请跟帖传上来，我会尽快为你补充制作。 特别声明:1、userinit.exe修改版实质是由捆绑软件制作而成的“假木马”。经测试，麦咖啡安全通过～但瑞星会报毒，不排除还有其它杀软会报～但我保证这是误报～相信我的朋友就请放心使用～持怀疑的请止步～ 2、使用PUBWIN2007和VD1.3的朋友请将测试结果告诉我，因为我这边测不了，不敢保证它能否令你们成功，谢谢合作和理解～ 3、方法3仅适用安装了还原软件的系统～不然系统正常启动一次后，下次再启动就因为userinit.exe自杀而导致失败，系统有还原的那就不怕啦。不过大家在每次要开放还原干点什么时，尤其要记得补回这文件。 特别感谢:网盟朋友 jianghaiyang在543楼为大家做了详细的关于PUBWIN2007采用方法3后的实战报告，使用PUBWIN的朋友们可以了解下。 screen.width-500)this.style.width=screen.width-500;" border=0> 点击浏览该文件 (防机器狗+IGM方法1_1120修改) screen.width-500)this.style.width=screen.width-500;" border=0> 点击浏览该文件 (防机器狗+IGM方法2_1120修改) screen.width-500)this.style.width=screen.width-500;" border=0> 点击浏览该文件 (userinit修改版重新上传)注意:有杀软会误报的～ 附上一个远程检测客户机userinit文件是否被修改工具: 《[原创]简单远程调用～快速查看你网吧机子有没中IGM.exe》 关闭系统文件保护提示框(重起系统后才能生效) 01. screen.width-500)this.style.width=screen.width-500;" border=0> 点击浏览该文件 02. screen.width-500)this.style.width=screen.width-500;" border=0> 点击浏览该文件