[转帖]偷梁换柱气死恶狗,斧底抽薪防止穿透——火速奉献最新最有效的防狗必杀技！

风一样的男孩

<h4>偷梁换柱气死恶狗,斧底抽薪防止穿透——火速奉献最新最有效的防狗必杀技！</h4><div class="tpc_content">    经过几个晚上的反复试验，我终于在昨晚找到了可以说是目前最新最有效又最简单的防止机器狗穿透还原的方法！原理如下：<br/>    众所周知，机器狗或IGM变种能成功穿透还原，并狡猾地利用了userinit.exe这个系统必须的登录文件，将其更改成木马下载器，从而……我们防病毒方法一般都是被动地免疫了事，但对这个特殊文件却是不能免疫、不能删，改注册表改名也无济于事，也就怪不得这条狗要凶这么久了。总而言之，userinit.exe才是防止穿透的唯一突破口。于是，我就瞄准这个userinit.exe突破口，要好好保护它不被穿透更改为致命关键！于是，我试过N种方法来保护这个文件，但都因为这文件开机的特殊性失败了！昨晚，我忽然想到了另一点，机器狗穿透的是EXE文件，如果我用别的非EXE文件来代替开机的userinit.exe，结果会怎样呢？我首先想到用个批处理，里面代码只要写上个真正的userinit.exe执行命令<br/>就可以，这样就不影响开机，而机器狗能在注册表读取到的userinit键值只是这个简单的批处理，那么它要穿透的也只有这个批处理！测试结果真的大快人心，这条狗根本就没更改批处理，或者说，它拿批处理反而没办法！其实也是，批处理写的代码不到30个字节，这条狗怎么穿透更改都是有限的。顺便介绍下，这狗很聪明，穿透更改后，文件的日期和大小都不变的，还真厉害！但用FC却能对比出文件代码是变动了，所以我前几天发的加料免疫中，有个开机对比检测批处理还是有很大效果的。好了，废话不多说了，看实际操作步骤：<br/>    1、首先在系统system32下复制个无毒的userinit.exe，文件名为FUCKIGM.exe(文件名可以任意取)，这就是下面批处理要指向执行的文件！也就是开机启动userinit.exe的替代品！而原来的userinit.exe保留！其实多复制份的目的只是为了多重保险！可能对防止以后变种起到一定的作用。<br/>    2、创建个文件名为userinit.bat的批处理（文件名也可任意取，但要和下面说到的注册表键值保持一致即可），内容如下：<br/>    start  FUCKIGM.exe (呵呵，够简单吧？)<br/>    3、修改注册表键值，将userinit.exe改为userinit.bat。内容如下：<br/>    <br/>    Windows Registry Editor Version 5.00<br/><br/>      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon]<br/>      "Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"<br/>    <br/>    就这3步，让这条狗再也凶不起来！我是在XP和2003测试的，双击机器狗后，没什么反应，对比批处理也是正常，即这狗根本没改动它！开关机啊游戏啊均无异常！win2000就没做测试了，但原理应该相通吧？这方法虽巳测试成功，但唯一美中不足的是，采用经典模式开机的启动时会出现个一闪而过的黑框！有经验的朋友可能要提议了，消除黑框用VBS或将BAT文件用幽灵软件转换啊？对不起，这两个方法我也分别做了测试的，改为VBS系统就不能启动了（可能是userinit.exe这个程序的特殊性吧？），而将BAT文件用幽灵软件转换成EXE文件后，那又上了机器狗的圈套，这条狗可要乐坏了，当然照穿不误！所以，目前开机黑框我是没能力取消的，看贴的友如果能取消的还请指点下！<br/>    最后，我将这3步做成一个批处理文件，各位下载后，要开放了还原后再执行，执行完毕会自动删掉该批处理的，那可是相当的绿色！从此，这条恶狗不再烦你，同胞们该游戏的游戏，该泡妞的泡妞，该……<br/>    对付病毒，人人有责！所以，测试过有效的朋友，请跟贴声明下效果！让别的朋友不再走弯路。若还有别的问题，也请跟贴说明下，让我们一起努力解决！<br/>    顶起来，让更多的同胞们脱离苦海——这也是你的责任了！<br/>    <br/>    国际惯例，附上批处理源代码：<br/><br/>    @echo off<br/><br/>        :::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe<br/>        cd /d %SystemRoot%\system32<br/>        copy /y userinit.exe FUCKIGM.exe &gt;nul<br/><br/>        :::创建userinit.bat<br/>      echo @echo off &gt;&gt;userinit.bat<br/>      echo start FUCKIGM.exe &gt;&gt;userinit.bat<br/><br/>        :::注册表操作<br/>    reg add "HKLM\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon" /v Userinit  / t  REG_SZ  /d  "C:\WINDOWS\system32\userinit.bat," /f &gt;nul<br/>    <br/>        :::删掉自身（提倡环保）<br/>    del /f /q %0</div><div class="tpc_content"><font color="#ff0000" size="5">下载地址：</font></div>

游客，如果您要查看本帖隐藏内容请回复

<br/>

luoxubo

<p>嗯,,,,好东西</p>[em01][em01]

ddddddddddddddddddddddddddddddddddddddddddddd

jinshumin

好东西 怎么没人顶啊
不过08年的新机器狗是否能防止穿透呢

aiai1985

本帖隐藏的内容需要回复才可以浏览
转载请注明出自蓝色动力网络技术交流中心 http://bbs.ganhui0818.cn/,本贴地址:http://bbs.ganhui0818.cn/viewthread.php?tid=276

yanbin688

asdfasdfasdfasdfasdfasdfadsf[s:13]