BAT x1

显示全部楼层 · 发表于 2009-2-6 18:22:52

Your Submission Has Been Sent
Your submission has been sent Fri Feb 6 02:27:48 PST 2009. You will receive an email message from Symantec with a tracking number that will enable you to check the status of this submission.

显示全部楼层 · 发表于 2009-2-6 18:52:07

此东西..XE...明白其意思了

PendingFileRenameOperations项用于延迟（也就是重启）替换、删除文件

这个BAT使用这个注册表项试图删除C:\ntldr

不过没成功？谁有虚拟机试验一下？

显示全部楼层 · 发表于 2009-2-6 18:59:54

..怀疑MP能不能拦

显示全部楼层 · 发表于 2009-2-6 19:07:04

2009-2-6 18:59:47 c:\windows\system32\cmd.exe 创建新进程 c:\windows\system32\conime.exe 阻止 [应用程序组]程序限制 -> [应用程序]* -> [子应用程序]*\conime.exe 命令行: C:\WINDOWS\system32\conime.exe
2009-2-6 18:59:48 c:\windows\system32\cmd.exe 创建新进程 c:\windows\regedit.exe 阻止 [应用程序组]程序限制 -> [应用程序]* -> [子应用程序]*\regedit.exe 命令行: regedit /s r1.reg
2009-2-6 18:59:48 c:\windows\system32\cmd.exe 创建新进程 c:\windows\system32\shutdown.exe 阻止并结束进程 [应用程序组]程序限制 -> [应用程序]* -> [子应用程序]c:\windows\system32\shutdown.exe 命令行: shutdown -r -t 0 -f

我的md安静规则阻止成功。

显示全部楼层 · 发表于 2009-2-6 19:08:52

如果要用PendingFileRenameOperations延迟删除/替换一个系统文件
必须得添加一个键值：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"AllowProtectedRenames"=dword:00000001
这家伙估计漏了这个，此物没有用....

显示全部楼层 · 发表于 2009-2-6 19:10:11

2009-2-6 19:10:06 http://bbs.kafan.cn/attachment.p ... t=1233918588/r1.bat Firefox 拒绝: Password-protected-EXE

显示全部楼层 · 发表于 2009-2-6 19:13:36

另外，根据系统启动顺序，此物就算有了用，必须得等到第二次重启以后，才会发生效果

Smss 的主线程进行以下的初始化步骤：

1、创建 LPC 端口对象( \SmApiPort )和两个等待客户请求的线程。客户请求包括装载一个新的子系统或者创建一个会话等。

2、为 MS-DOS 设备名，如 COM1 和 LPT1 定义符号链接。

3、如果安装了终端服务（Terminal Services），在对象管理器的名字空间创建 \Sessions 目录。

4、运行 HKLM\SYSTEM\CurrentControlSet\ Control\Session Manager\BootExecute 定义的程序，典型的是运行 Autochk （Chkdsk在引导其间的版本）。

5、按照 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations 的指令，进行延迟文件改名操作。挂起文件删除在 PendingFileRenameOperations2 。（这里删除掉了ntldr）

6、打开已知的 DLL 。

7、创建另外的分页文件。

8、初始化注册表。配置管理器刷新注册表，为HKLM\SAM, HKLM\SECURITY, 和 HKLM\SOFTWARE 关键字装载注册文件。HKLM\SYSTEM\ CurrentControlSet\Control\hivelist 在硬盘上搜索注册表文件，配置管理器在 \Winnt\System32\Config 寻找。

9、创建系统环境变量。

10、装载Win32子系统内核模式部分（Win32k.sys）。Smss 在 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager 下寻找 Win32k.sys 和其它要装载组件的路径，确定它们的位置。Win32k.sys 中的初始化代码使用视频驱动程序，屏幕的分辨率转换到缺省概貌文件定义的值。因此，屏幕从引导视频驱动程序使用的VGA模式转到系统选择的缺省的分辨率。

11、启动子系统进程，包括 Csrss 。

12、启动登陆进程 (Winlogon) 。

13、为调试事件信息创建LPC口(DbgSsApiPort 和 DbgUiApiPort)，并创建监听这些口的线程

但是在这之前，系统已经通过ntldr正确引导启动，因此........

这家伙编写的没多少水平....

显示全部楼层 · 发表于 2009-2-6 19:17:45

..某下载物里的..

显示全部楼层 · 发表于 2009-2-6 23:13:37

mcafee8.5 0

显示全部楼层 · 发表于 2009-2-8 12:26:14

将军的安静规则，阻止。可能图有点小，不好意思，另外，没有关闭nod32的情况下，解压文件被杀。

[病毒样本] BAT x1

回复 12楼 aarwwefdds 的帖子

评分

回复 17楼 aarwwefdds 的帖子

本帖子中包含更多资源

浏览过的版块