理论上可防99%木马的程序
2007-11-11 06:19:28 来源:WEB开发网理论上可防99%木马的程序网友的建议
===========
我的木马免疫方案:
方案一
启动到windows—加载RunServices启动项:删除Run启动项,重建Run启动项,恢复EXE、TXT、INI、INF、LNK等文件的打开方式。—加载Run启动项:删除RunServices启动项,重建RunServices启动项,恢复EXE、TXT、INI、INF、LNK等文件的打开方式。
其中删除Run和RunServices需要编写程序来完成。
方案二
一次性删除和重建Run和RunServices,程序可以和Explorer.exe绑定,也可以通过Win.ini启动,恢复EXE、TXT、INI、INF、LNK文件的打开方式可以通过注册表或程序进行。
方案一,优点:灵活,重建的注册表启动项可随意定制;缺点:对某些超顽固木马无法免疫。
方案二,优点:免疫能力强,除类驱动程序级木马无法免疫,几乎免疫所有木马;缺点重建的注册表启动项不易定制,对程序速度要求较高,程序不可以过大,稳定性要求高。
有编程基础各位大大快来编程啊。免疫木马,造福网民!
我的做法
==========
我是采用上面第二种方案来做的,也就是用“EXE捆绑器”(一并提供)来把生成的文件与 Explorer.exe 绑定在一起,以达到一开机就运行。
程序一开机就会运行,运行时把以下主键删除:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
然后修改 win.ini 里面的 load 与 run 项目为空,修改 system.ini 里面的 shell=Explorer.exe
最后导入注册表文件 c:\runok.reg
问题
===========
程序刚刚完成,我也只是测试了一下它的功能,没有深入的去测试,希望朋友们如果发现有什么问题的话可以与我联系,或者回贴告诉我,谢谢!
下载与安装
=================
下载地址:http://www.gybell.com/temp/RepairReg.zip
把下载下来的文件解压缩,把里面的 runok.reg 复制到 c:\ (该文件可以自行修改),然后把里面的 EXE捆绑器\已绑定\Explorer.exe 到纯 DOS 下覆盖 c:\windows\explorer.exe 即可,注意备份。
更多精彩
赞助商链接