查看: 12406|回复: 66
收起左侧

[原创文章] 菜鸟也能做专杀——AntiVirus Engineer入门介绍及应用实例

[复制链接]
tawny2008
发表于 2009-4-4 01:14:06 | 显示全部楼层 |阅读模式
本帖最后由 tawny2008 于 2011-3-28 15:24 编辑

本文为tawny2008(小信)测试发表,转载请注明

      
      会用辅助工具杀毒有什么了不起,所有操作都只能本地操作,局限性太大了。如果远方的MM求助你清除病毒,你难道只能叹息爱莫能助?呵呵,不用担心,因为你需要的工具出现了,菜鸟也能写专杀,辅助区的Tored给我们带来了福音,现在为大家介绍一个制作专杀的工具——AntiVirus Engineer(简称:AVEng



一、先来一份作者的介绍:

会看SREngLOG 就能写专杀

       AntiVirus Engineer
(简称:AVEng )是专门为广大的反病毒爱好者提供的一款快速制作专杀工具的软件,只要你能够分析 SREngLOG ,就能够通过修改 AVEng 的配置文件 virus.ini 来快速制作出专业的专杀工具。本工具采用独特病毒清理、系统修复引擎,能够快速准确地清理病毒并修复系统常见故障。

      本工具是制作专杀工具之用的,请部分网友正确理解用途。建议在配置好 virus.ini 之后用软件 MoleBox  将两个文件封装成单文件,然后提供给网友下载。


AVEng.rar (49.3 KB) 操作系统:Win2003/XP/2000


1.2更新:
        1)增加进度条功能
        2)增加日志生成功能
        3)增加“致谢”
        4)改善查杀结果的报告

1.1更新:
        1)增加修复Windows Shell ,包含了SREng能够修复的所有项目,包括 任务管理器、注册表编辑器、资源管理器相关、IE相关、组策略等等。
        2)完善注册表清理,增加对系统服务、驱动的清理。

使用说明:
        
配置文件内有具体的参数说明,请在仔细阅读参数说明后再作修改。如有疑问,欢迎在此跟帖。如果大家发现BUG或者有好的建议,也欢迎在此跟帖,Tored 会不断完善和增强相关功能。提供建议或者提交BUG的朋友将被署名在本软件以后的版本中。





本帖导读:

1楼:软件介绍。
2楼:待清理的病毒初识。
3楼:专杀制作流程。


[ 本帖最后由 tawny2008 于 2009-4-4 12:27 编辑 ]

评分

参与人数 2魅力 +1 人气 +1 收起 理由
水木 + 1 支持小信
liujiehua + 1 非常不错的东西,但清理能力稍逊色,一般还

查看全部评分

tawny2008
 楼主| 发表于 2009-4-4 01:33:59 | 显示全部楼层
本帖最后由 tawny2008 于 2011-3-28 15:26 编辑

二、病毒危害初体验。
此病毒是精心挑选的,原因是病毒测试时表现出很丰富的行为,行为如下:



1、运行后以命令行调用自身

2、向程序目录释放dll
文件路径:C:\Program Files\sNiu.dll

3、调用rundll32.exe

4、向字体目录释放fon
文件路径:C:\WINDOWS\Fonts\cscwa.fon

5、SCM  安装服务
2009-03-02 23:44:43    安装服务或者驱动      
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\Fonts\swmfb.fon

6、向防火墙发送消息

7、删除衍生物
文件路径:C:\WINDOWS\Fonts\swmfb.fon
文件路径:C:\Program Files\sNiu.dll


8、SCM安装服务
2009-03-02 23:45:14    安装服务或者驱动      
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~sdoog.tmp

9、命名管道操作

10、向程序目录释放exe  并隐藏 调用
文件路径:C:\Program Files\Common Files\SafeSys.exe
文件路径:(隐藏文件)C:\Program Files\Common Files\SafeSys.exe
文件路径:C:\Program Files\Common Files\SafeSys.exe

11、调用svchost.exe 并修改进程内存

12、进行注册表转储操作

13、调用IE

14、创建自删除批处理并调用

========================================我是分隔线==========================================


虽然这是病毒初步测试结果,但实际运行后的病毒表现并不一定如此,专杀也不能靠这个写,现在直接运行病毒试试


01 运行病毒



02 病毒消失



03 由用户启动的svchost进程(不正常)



03 重启系统



04 重启系统后任务管理器又增加了一个svchost进程



*******************************************************************************
*                                                                                                *
*   注:运行病毒后,运行冰刃,Wsyscheck都直接被关闭  *
*                                                                                                *
*******************************************************************************


05 试运行SREng



05 SREng运行成功



06 保存报告





附:SREng原日志、筛选后的SREng日志
病毒样本090302226,密码virus,样本原链接
http://bbs.kafan.cn/thread-434211-1-1.html


[ 本帖最后由 tawny2008 于 2009-4-4 07:11 编辑 ]

SREng原日志.rar

6.1 KB, 下载次数: 175

筛选后的SREng日志.rar

2.2 KB, 下载次数: 168

090302226.rar

47.8 KB, 下载次数: 221

病毒样本

评分

参与人数 1人气 +1 收起 理由
dl123100 + 1 原创内容

查看全部评分

tawny2008
 楼主| 发表于 2009-4-4 01:34:25 | 显示全部楼层
本帖最后由 tawny2008 于 2011-3-28 15:30 编辑

三、AVEng工具专杀制作。

01 整理日志,编写脚本

日志可疑项目如下:
=====================================我是分隔线============================================

注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <SafeSys><C:\Program Files\Common Files\SafeSys.exe>  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe]
    <IFEO[360hotfix.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
    <IFEO[360rpt.exe]><ntsd -d>  [N/A]
(省略一部分其它类似IFEO项目)

驱动程序
[cqgwo / cqgwo][Stopped/Manual Start]
  <\??\C:\WINDOWS\Fonts\cqgwo.fon><N/A>
[DogKiller / DogKiller][Stopped/Manual Start]
  <\??\C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\~hmanw.tmp><N/A>
[awrug / awrug][Stopped/Manual Start]
  <\??\C:\WINDOWS\Fonts\awrug.fon><N/A>

Autorun.inf

[C:\]
[AutoRun]
Open=SafeSys.exe
Shell\Open=打开(&O)
Shell\Open\Command=SafeSys.exe
Shell\Open\Default=1
Shell\Explore=资源管理器(&X)
Shell\Explore\Command=SafeSys.exe
[D:\]
[AutoRun]
Open=SafeSys.exe
Shell\Open=打开(&O)
Shell\Open\Command=SafeSys.exe
Shell\Open\Default=1
Shell\Explore=资源管理器(&X)
Shell\Explore\Command=SafeSys.exe


=====================================我是分隔线============================================


可知待删除的文件8个
C:\Program Files\Common Files\SafeSys.exe
C:\WINDOWS\Fonts\cqgwo.fon
C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\~hmanw.tmp
C:\WINDOWS\Fonts\awrug.fon
C:\Autorun.inf
D:\Autorun.inf
C:\SafeSys.exe
D:\SafeSys.exe

待删除的注册表数个

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <SafeSys><C:\Program Files\Common Files\SafeSys.exe>

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe]
    <IFEO[360hotfix.exe]><ntsd -d>
(省略一部分其它类似IFEO项目)

=====================================我是分隔线============================================

整理成脚本为:

[VIR]
%Progra%\Common Files\SafeSys.exe
%windir%\Fonts\cqgwo.fon
%tmpdir%\~hmanw.tmp
%windir%\Fonts\awrug.fon
%alldrv%\SafeSys.exe
%alldrv%\Autorun.inf
[/VIR]

[REG]
%regdel%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
%regdel%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SafeSys
[/REG]

[SER]
[/SER]

[COR]
IFEO=TRUE
ASSOC=FALSE
HOSTS=FALSE
WINSHELL=FALSE
[/COR]

注:注册表方面有偷懒成分,细心的人可以看出,之前第一次试验的时候写脚本写得非常累。

=====================================我是分隔线============================================


02 主角出场



03 专杀被关闭



04 去掉“专杀”的关键字



05 成功运行AVEng



06 提示只清4个病毒



07 提示重启



08 提示需要重启



09 重启后Wsyscheck可以运行,病毒文件也被删除了,可惜注册表清理并不完整



10 再次运行专杀



11 提示修复成功



12 干净了



13 注意要点




附:实验中使用的AVEng

[ 本帖最后由 tawny2008 于 2009-4-4 03:53 编辑 ]

实验中使用的AVEng.rar

49.19 KB, 下载次数: 186

评分

参与人数 1人气 +1 收起 理由
Deker + 1 来晚了,后排支持

查看全部评分

tawny2008
 楼主| 发表于 2009-4-4 02:16:03 | 显示全部楼层
实验总结:

        
AVEng脚本编写难度一般,但操作性欠佳,特别是文件和注册表项目过多的情况,清除病毒文件效果较好,清除注册表能力一般,目前比较局限性的是:无法解决感染性病毒,无法解决多部电脑随机命名的病毒(只能在单机清除,不具有广泛流动性),无法添加新的注册表项目。希望作者可以完善此工具,真正让菜鸟也能制作最佳的专杀工具,谢谢。


AVEng作者原贴http://bbs.kafan.cn/thread-440649-1-1.html

作者的博客http://hi.baidu.com/peaset

[ 本帖最后由 tawny2008 于 2009-4-4 22:45 编辑 ]
dl123100
发表于 2009-4-4 08:36:45 | 显示全部楼层
这个清理能力还不够,不如AVZGuard,不过写AVZ脚本麻烦些。
evilrabbit
发表于 2009-4-4 09:10:56 | 显示全部楼层
问下,感染性病毒咋清理啊,一些资料是不能清除的,只能手动修复和用工具修复。破坏性的病毒就算了,测试了也没意义,小浩病毒是个例子。。

举个例子把explorer.exe 修改了,咋弄啊,如果没有第三方shell的话,删除explorer.exe 不知道桌面还可以见到桌面嘛、
感染性的病毒还是不要加的好,这个工具我刚下来看过了,已经写的不错,这样的小工具,不需要添加太多太复杂的功
能,最简单的实用的就行了。

[ 本帖最后由 wolfwalk888 于 2009-4-4 09:16 编辑 ]
天月来了
发表于 2009-4-4 09:21:44 | 显示全部楼层
现在的木马群病毒,以及其他很多病毒都流行随机名了

没办法利用这类工具做专杀

但是用于清理哪个求助的固定的部分病毒还将就

但是不如pluto1313的工具。
palmerlee
发表于 2009-4-4 09:55:36 | 显示全部楼层
学习了。
xinhaozs
发表于 2009-4-4 10:24:26 | 显示全部楼层
楼主真强大啊
我不怎么会看那报告呢
费饭饭
发表于 2009-4-4 10:26:47 | 显示全部楼层
昨晚等半天,等到2点多,终于去睡了

占楼,开放不就好了?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:12 , Processed in 0.143613 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表