关于三茗一键恢复的抗穿测试。

显示全部楼层 · 发表于 2008-11-11 17:42:30

本帖最后由 107 于 2010-12-22 18:44 编辑

今天下午闲着没事，就在虚拟机里测试了三茗一键恢复的抗穿能力。
因为比较猪头，就没有截图说明了，只简单描述一下。一下午的测试搞的头晕眼花的，真是体会了论坛里那几位测试的朋友的辛苦了。
用的虚拟机是VM5.53版，系统是XPSP3（深度出的网吧版），分区格式是NTFS。
三茗一键恢复是我买的第一个正版软件，在99年买的，那时候还用的win98，比较容易被我折腾挂了，用Ghost恢复慢，就用它了。软件在一张加密软盘上，这个软盘卖168.

现在想着还心疼啊，买了也没怎么用。因为在虚拟机里用这个加密软盘有问题，就没测试这个正版了（不过这个正版也很老了，不会比测试的新版强的）。用的是我以前从网上收集的1.57 Build 050802、3.0.0 Build 060228 和3.0.0 Build 060311 。
坛子里前一段有个网友提到这个三茗一键恢复1.57破解版，还在他网盘里提供了下载，我下来看了看，实际是3.0.0 Build 060228 ，和我以前收集的3.0.0 Build 060228 完全一样。

经过在虚拟机里分别安装这三个版本，注册成功后（3.0.0 Build 060311 是提示注册成功了，但重启回来看还是未注册版），到http://bbs.kafan.cn/viewthread.php?tid=362108&extra=&page=1这里下载病毒运行，因为mas1.exe和kao.exe一运行就蓝屏，就单独逐个测试了，其他的几个都是一块运行。经过多次的反复重启验证和恢复验证证实，这几个版本的三茗一键恢复都不能保护userinit.exe。恢复后系统症状是不能进入桌面，必须要手动执行explorer.exe才能进入。经过检查其他都正常，就是userinit.exe被破坏了，只要把事先备份的userinit.exe恢复回来，系统就一切正常了。被破坏的userinit.exe执行了也没事，提交到病毒样本区那两个在线多引擎扫描的网站检查只有AVG报毒，没再发现其他的修改和病毒。

综上所述，三茗一键恢复这两个（1.57 Build 050802和3.0.0 Build 060228 ）破解版虽然是几年前的老版本了，但还是可以一用的，自己再做个进系统桌面前恢复userinit.exe的就更完美了。

显示全部楼层 · 发表于 2008-11-11 17:46:20

如果没有其他生成物，我就认为是假性穿透

显示全部楼层 · 发表于 2008-11-11 17:47:49

头一次正儿八经的发个主题帖，说的有点乱。测试的也不是很充分，只是这个针对userinit.exe穿透的病毒。估计针对其他系统文件穿透也一样会被破坏不能还原吧。

最好woods12345有空了把测试SD和RVS的所有病毒都弄上试试，以上测试仅供参考……

显示全部楼层 · 发表于 2008-11-11 17:50:35

原帖由 fufuji97 于 2008-11-11 17:46 发表
如果没有其他生成物，我就认为是假性穿透

可以说是假性穿透吧，但因为系统关键文件的破坏，造成不能正常进入桌面，还是会给新手造成麻烦

显示全部楼层 · 发表于 2008-11-11 17:50:38

自己再做个进系统桌面前恢复userinit.exe的就更完美了。

汗，每次开机恢复userinit？防机器狗（或者说机器狗免疫）的新思路- -！

显示全部楼层 · 发表于 2008-11-11 17:52:42

原帖由 lyljj 于 2008-11-11 17:50 发表

可以说是假性穿透吧，但因为系统关键文件的破坏，造成不能正常进入桌面，还是会给新手造成麻烦

恢复了桌面没发现异常？

显示全部楼层 · 发表于 2008-11-11 17:56:32

原帖由 fufuji97 于 2008-11-11 17:52 发表

恢复了桌面没发现异常？

必须要恢复好的userinit.exe才能顺利正常进入桌面，否则explorer.exe不会自己启动，要手动执行才能进入桌面。被破坏的userinit.exe执行了也没发现什么异常，检查也都正常，只有一个userinit.exe被破坏了，其他完全正常。

[ 本帖最后由 lyljj 于 2008-11-11 17:57 编辑 ]

显示全部楼层 · 发表于 2008-11-11 17:58:22

原帖由 lyljj 于 2008-11-11 17:56 发表

必须要恢复正常的userinit.exe才能顺利正常进入桌面，否则explorer.exe不会自己启动，要手动执行才能进入桌面。被破坏的userinit.exe执行了也没发现什么异常，检查也都正常，只有一个userinit.exe被破坏了。

跟我测的那个16位程序穿影子2008差不多。我的是explorer完蛋了，得复制explorer过去，就没事了

显示全部楼层 · 发表于 2008-11-12 12:26:55

三茗是可以破解成功的，你方法不对，下载下来后，是不是有一个文件夹叫saming，还有一个安装文件FlashRecovery，先用FlashRecovery 安装，完毕，不要重启计算机，用saming文件夹覆盖安转目录，覆盖前务必干掉三茗的进程（记得有两个，一个是monitor。另一个忘了），否则无法覆盖。然后重启计算机，重启后，保持防火墙（或者干脆断网）阻止三茗访问网络；再注册，随便输入几个数字就ok。

[ 本帖最后由 huhensex 于 2008-11-12 12:30 编辑 ]

显示全部楼层 · 发表于 2008-11-12 13:43:45

原帖由 huhensex 于 2008-11-12 12:26 发表
三茗是可以破解成功的，你方法不对，下载下来后，是不是有一个文件夹叫saming，还有一个安装文件FlashRecovery，先用FlashRecovery 安装，完毕，不要重启计算机，用saming文件夹覆盖安转目录，覆盖前务必干掉三茗的进 ...

这个我当然知道了，05年底我就用过1.57的破解版了。我是说前两个版本可以注册成功，第三个注册成功了，重启后还是未注册的。