【直播】巧用火绒套装活捉魔方修改IE主页的行为，与防御修改IE主页的方法。

显示全部楼层 · 发表于 2013-1-1 14:03:17

本帖最后由潘中医于 2013-1-1 15:38 编辑

虽然可以手动取消魔方守护的修改主页行为，但是我给大家提供一个防御流氓的思路

先给大家一个手动删除加魔方守护组件的方法

这个组件还是加驱动的

1.卸载你安装的魔方，下载一个绿色版本。

浴火重生

2.在桌面 “右键” 创建4个 “新建文本文档.txt”，分别修改成 winguard.dll winguard.exe winguard_x64.dll winguard_x64.exe

狸猫换太子

3.把绿色魔方的压缩包解压，把里面的 winguard.dll winguard.exe winguard_x64.dll winguard_x64.exe 删除，把咱自己做的假文件放入进去。

偷梁换柱

4.把系统调成显示隐藏文件，在 C:\Users\你的用户名\AppData\Roaming 下创建一个叫 tweakcube3 的文件夹，再次把假文件放进去。

画个圈圈诅咒他反用户手动修改安装文件夹下魔方守护文件。

5.如果你以前的IE主页被非礼过用，就用xuetr查看一下启动项和驱动模块有没有魔方的残留，有就直接删。如果没有就运行下魔方，再运行下守护（依旧会修改首页的），然后退出再用xuetr看下。

斩草除根

把系统调成显示隐藏文件windos7系统的方法为如下：

1.打开我的电脑，并点击左上角的“组织”，再次点击“文件夹和搜索选项”。

2.点击“查看”，并如图设置。

下面就开始分析与治疗去了守护组件的魔方依旧会修改主页的行为

显示全部楼层 · 发表于 2013-1-1 14:03:34

本帖最后由潘中医于 2013-1-1 15:46 编辑

活捉现场：

0.我是IE浏览器主页现在是百度

1.打开火绒剑开启监控，运行魔方。等魔方运行后，停止监控，并右键只监控他。

有的放矢

2.点击到魔方守护界面，并清空一下火绒剑的记录。(可以看出我们删除组件成功了)

流氓行为还有30秒到达战场，碾碎他们。

3.开关一下浏览器主页防护，后关闭火绒剑监控。跑了65个动作，慢慢分析。

瓮中捉鳖

4.活捉一下魔方运行C盘下那个魔方守护组件的记录 ~~ 你们以为删除魔方安装文件夹下的守护组件就没事了啊，人家跑的记录中压根就没运行安装文件夹下的组件。

瞒天过海

5.IE主页已被修改为hao123了

过了火绒盾的监控啊，BUG失荆州。（@china_killer 发到火绒反馈平台上了，基佬等着我爆你菊吧，

你可是说用火绒出事就能爆你菊的。）

下面讲解如何用火绒的注册列表监控防御修改IE主页的行为：

1.打开绒儿的主动防御，并点击注册表保护。【图片上传不上来了

】

2.添加HKEY_USERS\S-1-5-21-1881255484-3360295382-3988934310-1000\Software\Microsoft\Internet Explorer\Main\Start Page
大家注意左下角的【创建键读取值写入值删除键值】都要点击上，【确定】保存后退出。

3.再次点击IE，火绒会拦截，点击信任即可。

我和小护士约会去了 88

http://pan.baidu.com/share/link?shareid=177289&uk=991892977 这个是我下载今天绿色版的魔方修改的后的，里面还有假组件，别忘了按照教程放在C盘下。

首次运行魔方，那小玩意还会读取IE主页的注册列表，拉进一直信任就可。

显示全部楼层 · 发表于 2013-1-1 14:06:15

支持一下
话说魔方整天弹出那个改主页的框框真的太烦人了

显示全部楼层 · 发表于 2013-1-1 15:13:36

tomochan 发表于 2013-1-1 14:06
支持一下
话说魔方整天弹出那个改主页的框框真的太烦人了

按照教程修改后只要不把守护中的任意一项打开还会弹出的~~~ 你可以试试把主页防护打开，然后用火绒阻止，阻止两次后魔方就安静了，IE主页依旧没改。

显示全部楼层 · 发表于 2013-1-1 15:17:11

就因魔方的守护就再也不用了

显示全部楼层 · 发表于 2013-1-1 15:19:07

一直都是魔方绿色版，必须沙箱里面运行

显示全部楼层 · 发表于 2013-1-1 15:32:00

本帖最后由 a330391 于 2013-1-1 19:49 编辑

你怎么不直接使用组策略禁止 C:\Users\你的用户名\AppData\Roaming\tweakcube3下的winguard.dll winguard.exe这两个文件启动呢。

显示全部楼层 · 发表于 2013-1-1 15:39:25

不用魔方守护的功能就是了。
保证别人不插楼加255就好了，编辑完了再开权限

显示全部楼层 · 发表于 2013-1-1 15:48:15

a330391 发表于 2013-1-1 15:32
道长你怎么不直接使用组策略禁止 C:\Users\你的用户名\AppData\Roaming\tweakcube3下的winguard.dll wingua ...

不知道这个功能能不能大义灭亲，这个教程是给大家一个解决流氓软件的思路。

显示全部楼层 · 发表于 2013-1-1 15:48:34

真小读者发表于 2013-1-1 15:39
不用魔方守护的功能就是了。
保证别人不插楼加255就好了，编辑完了再开权限

智商是硬伤

[技术原创] 【直播】巧用火绒套装活捉魔方修改IE主页的行为，与防御修改IE主页的方法。

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源