中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名：www.cn-dos.net 论坛域名：www.cn-dos.net/forum
DOS，代表着自由开放与发展，我们努力起来，学习FreeDOS和Linux的自由开放与GNU精神，共同创造和发展美好的自由与GNU GPL世界吧！

游客: 注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »

中国DOS联盟论坛 » DOS学习入门 & 精彩文章（教学室） » 机器狗和IGM免疫补丁失效怎么办(比如三联)....

fanqiang
初级用户

积分 113
发帖 56
注册 2007-9-4
状态离线

『楼主』: 机器狗和IGM免疫补丁失效怎么办(比如三联)....

就是利用WINDOWS系统本身的漏洞，建立一个非法文件夹，原理如下：

这个我想就不用多解释了吧,大家应该都知道吧

原来的免疫补丁只是建立同名病毒空文件夹，再加隐藏/系统/只读属性，最后加权限，千篇一律！怪不得最近碰到机器狗变种也用批处理对付这些免疫文件夹...

既然我们可以想到的，病毒作者肯定也能想得到，破掉免疫对他们来说,小KISS了！这也就怪(我想.以大家的水平,也应该可以)

那就是在空文件夹的基础上，再到里面建立一个非法文件夹，这文件夹名字是可以任意的，只是利用了WINDOWS本身的漏洞而已，是删不掉的，除非你本人知道这文件夹的全名，在CMD里用RD命令才能删掉！所以，那病毒作者是再也不能取消免疫文件夹了，也就不能重新将病毒文件再放进来！

下边的是我找的 ,我不是原创,只是把人家的好东西结合了一下
disable.ini
  (下面病毒名字)
  logo.txt
  (里面病毒路径)
  先杀.bat(重点)
(
@set dbg=
@echo %dbg% off&&setlocal EnableDelayedExpansion
::code by qasa copyright@qknet 1:00 2007-1-23
mode con cols=45 lines=20&color c
set no_=0
set ko_=0
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /f >nul 2>nul
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v "DisallowRun" /t REG_DWORD /d 1 /f >nul 2>nul
echo 正在检查进程中是否有可疑文件运行......
for /f "delims=" %%e in (disable.ini) do (
tasklist|find /i "%%e"&&echo 发现可疑进程 %%e
taskkill /f /im %%e>nul 2>>nul&&echo 已经结束可疑进程 %%e
)
免疫文件.bat

(
for /f "delims=" %%i in (disable.ini) do (
if %%i neq setup.exe (reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun /v !no_! /d %%i /f >nul)
set /a no_+=1
)
echo.&echo 有 !no_! 个怀疑病毒文件被列入禁止运行表。
echo.&echo 正在创建病毒免疫文件......
for /f "delims=" %%p in (logo.txt) do (
if exist %%p (
cacls %%p /e /t /p everyone:F >nul 2>nul
attrib -r -s -h -a %%p >nul 2>nul
del /q %%p >nul 2>nul
rd /q %%p>nul
)
md %%p&attrib -s -r -h -a %%p >nul 2>nul
cd %%p >nul 2>nul
md ff..\ >nul 2>nul

attrib +r +s +h +a %%p >nul 2>nul

)
  四个文件一定要放在一起
  以后自己可以自己生机病毒库 ,爽

特此声明,上面东西是我取众家之精华(天下网吧一人的思路,浪子的批处理和自己改改

  我是一只菜鸟 ,以后大家共同进步.