在论坛看到很多病毒贴,IGM疯狂的时候很多人的建议都是需要工具的,例如什么三联之类的,本人14岁才开始接触电脑的,刚开始就是盗QQ,利用纯DOS破网管软件,或智能ABC,从事网吧行业也有5年经验了,混了2年技术主管,好了,废话就不说太多了,开始转入正题!
IGM流行的时候,大家最关心的就是它能穿透还原软件,其实理论上并不能说它是真正的穿透还原软件,如果你中了IGM,不接上网络没有事,一但接上网络才会连上网站自动下载盗号程序,进行网关IP段欺骗,因为之前的了解,我们知道IGM是利用系统USERINIT,EXE这个可执行程序来躲避还原软件的,目前我自己研究出来防IGM跟IGM免疫的方法,在确定USERINIT这个文件属于正常的系统文件时,把这个文件多复制一份,然后改名,再到注册表里把USERINIT的执行路径改为我自己改后的执行路径,然后在到注册表启动项里把RUN的权限改为读取,去掉完全控制权限.最后是开机进入系统复原,原USERINIT的注册信息!
我解释一下这样做的目的:
RUN只留只读权限是为了保证万象客户端能正常运行的前提,只留只读去掉完全控制是为了禁止创建启动项,因为不管任何一种病毒或盗号软件,它要达到开机立刻运行程序就必须在RUN里创建随启动项,随系统启动后自动运行
进入系统后自动复原USERINIT注册表原信息是为了迷惑所有靠USERINIT来躲避还原软件的病毒!
我表达能力有限,可能会很多人看不懂,我把步骤简化一下:
1,在确保USERINIT这个可执行程序是正常的系统程序时,复制多一个,然后改名!
2,把注册表里原USERINIT的原信息导出保存,然后在指定你改名后的新执行路径!
3,RUN这里把你需要开机后运行的程序先指定好,然后只保留读取权限,其它权限一律去掉!
4,在RUN启动项里多添加一个启动后导入你自己导出的USERINIT原注册表信息!
5,在RUN启动项里添加好开机进系统导入你自己导出的USERINIT原注册表信息后.要把还原软件保护上!
接下来注册表要改的位置在:
USERINIT在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
RUN在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这篇我在天下网盟发过了,我在天下网盟的用户名也是ebyk
说我在天下网盟发过完全没有做广告的意思,主要原因就是表明我所发的都是我本人原创的,可以在别的论坛搜索到,我在别的论坛的用户名也是ebyk |
发表于 2008-1-8 21:20:56
