首页 > 范文大全 > 正文

自己动手做专杀

开篇:润墨网以专业的文秘视角,为您筛选了一篇自己动手做专杀范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!

由于杀毒软件病毒库的更新远远跟不上病毒的更新,每当网络上出现新病毒的时候,很多杀毒高手就会制作出新病毒的专杀。那么,这些有效的专杀工具是怎么做出来的呢?

其实只要利用lnCtrl5,我们也可以轻松制作流行病毒专杀工具。这样当你的同事或朋友中了病毒无法查杀时,你就可以把自己制作的专杀给他们使用。

InCtrl5可以监视软件的安装会对系统造成什么影响,包括监测注册表、INI文件、指定文件、指定文件夹、驱动器等等。并保存记录下来。

软件名称:lnCtrl5

软件版本:1.0.0. 0

授权方式:免费软件

软件大小:841KB

下载地址:/pcd

明察秋毫追踪木马

制作专杀,我们首先要获取木马样本,从网上找到一个“QQ木马专用免杀A版”,按提示生成盗号客户端Pzqqhacker_58.exe备用(本例中放在K盘根目录下)。这是一个号称可以免杀的盗号木马,这里我们借助lnCtrl5监测它的安装。

启动InCtrl5,单击“安装程序”后的浏览按钮,选择制作好的木马“k:\Pzqqhacker_58.exe”,然后设置好报告文件名称和保存位置。

在“跟踪什么”一栏下,依次设置需要跟踪的项目。木马的藏身之地一般就是系统盘,我们只要选择跟踪C、K盘即可(跟踪K盘可以看看木马是如何毁灭自身),其他跟踪项目采取默认设置。

单击“开始”,lnCtrl5开始扫描预安装前的跟踪项目,同时把这个作为原始数据和安装软件后的监测结果对比。预安装扫描完毕,InCtrl5会自动激活木马客户端安装,由于木马都是采用后台、静默安装方式,我们不可能在桌面看到木马安装过程。

木马安装完成后,InCtrl5会给出“install may be templet”提示,按提示单击“安装完成”,程序开始扫描安装后的监测项目并进行对比分析。

查看报告揪出病毒

扫描分析完成后,InCtrl5会自动弹出分析报告,单击“运行”即可查看。 先来看看系统内增加的病毒文件,单击报告中的Disk Contents链接。在“Filesadded:2”(文件增加)项,可以看到木马虽然在后台安装,但InGtfl5却可以追踪到它在系统中增加了2个病毒文件,同时在“Files delete:1”项可以看到,木马安装完后会删除客户端本身。又发现木马在[KEY_CURRENT_USER\Software、Microsoft\Windows\Current Version\RurI]添加“wfg”启动项,启动文件正是“C:\windows\sytem32\syswfg.exe”。一般查看报告的顺序是先找到新增的病毒文件,如果无法确认病毒文件,还可以通过新增的自启动键值来查找,IHKEY_LOCAL_MACHINE\SYSTEM\currentControIset](伪装为系统服务启动)、[KEY_CURRENT_USE\RSoftware\Microsoft\WIndows\CurrentVerslon-Run](常见启动键值)、文件关联方式等。

制作专杀

查到木马文件和启动键值后,制作一个脚本删除对应的键值和病毒文件。启动“记事本”程序后,依次输入的内容,保存为“zhuansha bat”,以后朋友如果中招这个木马,只要运行专杀文件即可(括号后为注释,无须输入)。

为了达到更好的专杀效果,建议在安全模式下运行专杀工具。有些病毒在安全模式下可能也无法删除,这时可以更改一下专杀脚本,到DOST查杀。此外,使用regdelete删除键值要谨嗅,如果不熟悉键值的作用,建议进入注册表手动删除。