自己动手做专杀

开篇：润墨网以专业的文秘视角，为您筛选了一篇自己动手做专杀范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

由于杀毒软件病毒库的更新远远跟不上病毒的更新，每当网络上出现新病毒的时候，很多杀毒高手就会制作出新病毒的专杀。那么，这些有效的专杀工具是怎么做出来的呢?

其实只要利用lnCtrl5，我们也可以轻松制作流行病毒专杀工具。这样当你的同事或朋友中了病毒无法查杀时，你就可以把自己制作的专杀给他们使用。

InCtrl5可以监视软件的安装会对系统造成什么影响，包括监测注册表、INI文件、指定文件、指定文件夹、驱动器等等。并保存记录下来。

软件名称：lnCtrl5

软件版本：1.0.0. 0

授权方式：免费软件

软件大小：841KB

下载地址：/pcd

明察秋毫追踪木马

制作专杀，我们首先要获取木马样本，从网上找到一个“QQ木马专用免杀A版”，按提示生成盗号客户端Pzqqhacker_58.exe备用(本例中放在K盘根目录下)。这是一个号称可以免杀的盗号木马，这里我们借助lnCtrl5监测它的安装。

启动InCtrl5，单击“安装程序”后的浏览按钮，选择制作好的木马“k:\Pzqqhacker_58.exe”，然后设置好报告文件名称和保存位置。

在“跟踪什么”一栏下，依次设置需要跟踪的项目。木马的藏身之地一般就是系统盘，我们只要选择跟踪C、K盘即可(跟踪K盘可以看看木马是如何毁灭自身)，其他跟踪项目采取默认设置。

单击“开始”，lnCtrl5开始扫描预安装前的跟踪项目，同时把这个作为原始数据和安装软件后的监测结果对比。预安装扫描完毕，InCtrl5会自动激活木马客户端安装，由于木马都是采用后台、静默安装方式，我们不可能在桌面看到木马安装过程。

木马安装完成后，InCtrl5会给出“install may be templet”提示，按提示单击“安装完成”，程序开始扫描安装后的监测项目并进行对比分析。

查看报告揪出病毒

扫描分析完成后，InCtrl5会自动弹出分析报告，单击“运行”即可查看。 先来看看系统内增加的病毒文件，单击报告中的Disk Contents链接。在“Filesadded:2”(文件增加)项，可以看到木马虽然在后台安装，但InGtfl5却可以追踪到它在系统中增加了2个病毒文件，同时在“Files delete:1”项可以看到，木马安装完后会删除客户端本身。又发现木马在[KEY_CURRENT_USER\Software、Microsoft\Windows\Current Version\RurI]添加“wfg”启动项，启动文件正是“C:\windows\sytem32\syswfg.exe”。一般查看报告的顺序是先找到新增的病毒文件，如果无法确认病毒文件，还可以通过新增的自启动键值来查找，IHKEY_LOCAL_MACHINE\SYSTEM\currentControIset](伪装为系统服务启动)、[KEY_CURRENT_USE\RSoftware\Microsoft\WIndows\CurrentVerslon-Run](常见启动键值)、文件关联方式等。

制作专杀

查到木马文件和启动键值后，制作一个脚本删除对应的键值和病毒文件。启动“记事本”程序后，依次输入的内容，保存为“zhuansha bat”，以后朋友如果中招这个木马，只要运行专杀文件即可(括号后为注释，无须输入)。

为了达到更好的专杀效果，建议在安全模式下运行专杀工具。有些病毒在安全模式下可能也无法删除，这时可以更改一下专杀脚本，到DOST查杀。此外，使用regdelete删除键值要谨嗅，如果不熟悉键值的作用，建议进入注册表手动删除。