WEB开发网
开发学院数据库MSSQL Server 理论上可防99%木马的程序 阅读

理论上可防99%木马的程序

 2007-11-11 06:19:28 来源:WEB开发网   
核心提示:理论上可防99%木马的程序网友的建议===我的木马免疫方案:方案一启动到windows—加载RunServices启动项:删除Run启动项,重建Run启动项,理论上可防99%木马的程序,恢复EXE、TXT、INI、INF、LNK等文件的打开方式,—加载Run启动项:删除RunServices启动项,把里面的 runok

理论上可防99%木马的程序网友的建议

===========

我的木马免疫方案:

方案一

启动到windows—加载RunServices启动项:删除Run启动项,重建Run启动项,恢复EXE、TXT、INI、INF、LNK等文件的打开方式。—加载Run启动项:删除RunServices启动项,重建RunServices启动项,恢复EXE、TXT、INI、INF、LNK等文件的打开方式。
其中删除Run和RunServices需要编写程序来完成。

方案二

一次性删除和重建Run和RunServices,程序可以和Explorer.exe绑定,也可以通过Win.ini启动,恢复EXE、TXT、INI、INF、LNK文件的打开方式可以通过注册表或程序进行。

方案一,优点:灵活,重建的注册表启动项可随意定制;缺点:对某些超顽固木马无法免疫。

方案二,优点:免疫能力强,除类驱动程序级木马无法免疫,几乎免疫所有木马;缺点重建的注册表启动项不易定制,对程序速度要求较高,程序不可以过大,稳定性要求高。

有编程基础各位大大快来编程啊。免疫木马,造福网民!

我的做法

==========

我是采用上面第二种方案来做的,也就是用“EXE捆绑器”(一并提供)来把生成的文件与 Explorer.exe 绑定在一起,以达到一开机就运行。

程序一开机就会运行,运行时把以下主键删除:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
然后修改 win.ini 里面的 load 与 run 项目为空,修改 system.ini 里面的 shell=Explorer.exe
最后导入注册表文件 c:\runok.reg

问题

===========
程序刚刚完成,我也只是测试了一下它的功能,没有深入的去测试,希望朋友们如果发现有什么问题的话可以与我联系,或者回贴告诉我,谢谢!

下载与安装

=================

下载地址:http://www.gybell.com/temp/RepairReg.zip
把下载下来的文件解压缩,把里面的 runok.reg 复制到 c:\ (该文件可以自行修改),然后把里面的 EXE捆绑器\已绑定\Explorer.exe 到纯 DOS 下覆盖 c:\windows\explorer.exe 即可,注意备份。

Tags:理论 木马 程序

编辑录入:coldstar [复制链接] [打 印]
赞助商链接