推荐一款可以被用来练手杀的正规软件。

yhjtj

原帖由 zgzxp 于 2009-5-25 21:10 发表
推荐方法

1、GHOST搞定（这个纯属搞笑）

2、如果是NTFS的话，用权限搞定，
①安装目录全部禁用，在其上层目录操作
②windows目录下以F开头的那几个文件禁止读取（很好找的）
③windows\SYSTEM32\DRIVE目录下 ...

你知道么，你在不知不觉的作弊。
虽然是你亲手安装的，但你要假装它是病毒，你是不知道目录在哪里，也不知道他的dll和驱动在哪里，你甚至不知道他的存在才对！
想你这样搞就失去了原来的目的了！[:26:] 你要先观察是否中招了，想办法破他的隐身，找出目录，再根据进程模块找出它的钩子，根据ssdt找到驱动，一步一步来干掉他，你要当这是中毒时的演习，不是让你拿着坐标放导弹的干活！ 想你这样，稍微懂点的都会干！

[ 本帖最后由 yhjtj 于 2009-5-25 21:24 编辑 ]

JY-YZX714

（你要是能利用记事本和任务管理器干掉他，我就佩服你）

星期三看看~~搞定了有什么奖励啊

JY-YZX714

软件行为：隐藏进程、隐藏安装目录、屏蔽冰刃、狙剑（改名也不行）、进程及文件删除后自动恢复、全局钩子、禁止显示隐藏文件（设置后自动改回），还有更多行为等待你的发掘。

要是我直接上ubuntu给删除了算不算是作弊呢~~？？

Ice-card

等考试完再试

zgzxp

楼主说我作弊
他的进程用任务管理器能够看到
知道了文件名，相关的几个文件名也才不多

安装目录是没有隐藏的

即便是隐藏，也不是驱动过滤，只是简单的系统+隐藏属性，虽然设置了参看设置不能更改，但是稍微懂点的人也可以用CMD看到全部的文件

至于驱动程序，直接查看文件创建时间，对较新的文件稍微分析下（文件名字又不是病毒的随机，随机的更好发现）就可以发现的，怎么是作弊了

开始默认安装的时候开始菜单是创建了快捷方式的
这可以帮助找到那个可执行文件

wcyxj123

记住了，回来没事来试试。先装好影子再说！

yhjtj

是我没说清楚，麻烦你不要勾选建立快捷方式吧。要做就要象真的那样，你家的病毒有快捷方式么？

zgzxp

即便是不建立快捷方式

用系统自带的任务管理器中的也能发现那个ftct.exe，也很明显啊
难道连这个也“不准”发现
结束这个后“发现”其能自己恢复，这“不可疑”？

难道用CMD的dir  /A也是作弊？

晕倒，还有并不是冲版主的奖励来的说

mmzz2688

这个，这个，它再牛也是有pe文件的吧。。。
1.点击开始，运行，输入cmd，回车打开,输入以下命令:
assoc .xxx=xxxfile
ftype xxxfile="%1" %*
copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx
2.把system32下的cmd.exe改成cmd.xxx，再在运行里运行cmd.xxx就可以了。然后把wsyscheck或剑剑的主程序拖到cmd.xxx窗口，再按回车就可以运行了，这时再删除它的驱动，取消它的挂钩等都可以了吧。它对付安软的方法应该就是映像劫持吧。
以上假设它是病毒。
或者更干脆：
assoc .xxx=xxxfile
ftype xxxfile="%1" %*
copy F:\wsyscheck\wsyscheck.exe F:\wsyscheck\wsyscheck.xxx
这个wsyscheck.xxx可以运行了吧。。。（假设wsyscheck在F盘下面）
它的主程序可以在任务管理器里看见，我可以搜到它的所在目录，windows的搜索还是可以用的吧。

[ 本帖最后由 mmzz2688 于 2009-5-25 22:46 编辑 ]

关9军

谢了，有空试试