推荐一款可以被用来练手杀的正规软件。

mmzz2688

原帖由 mmzz2688 于 2009-5-25 22:38 发表
这个，这个，它再牛也是有pe文件的吧。。。
1.点击开始，运行，输入cmd，回车打开,输入以下命令:
assoc .xxx=xxxfile
ftype xxxfile="%1" %*
copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx ...

江民杀软常用的扩展名就是kxp，这个扩展名任意取，也可以是mmm等等，江民在安装时把exe关联到了kxp，原理是一样的。。。

yhjtj

原帖由 zgzxp 于 2009-5-25 21:57 发表
楼主说我作弊
他的进程用任务管理器能够看到
知道了文件名，相关的几个文件名也才不多

安装目录是没有隐藏的

即便是隐藏，也不是驱动过滤，只是简单的系统+隐藏属性，虽然设置了参看设置不能更改，但是稍微懂 ...

管理器是可以看到，但没有进程路径，
安装目录是隐藏的
你可以试着删除看看，他会重建的！

yhjtj

原帖由 mmzz2688 于 2009-5-25 22:38 发表
这个，这个，它再牛也是有pe文件的吧。。。
1.点击开始，运行，输入cmd，回车打开,输入以下命令:
assoc .xxx=xxxfile
ftype xxxfile="%1" %*
copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx ...

你可以试着删除看看，用你的方法搞定，并按我1楼那样贴图，我相信版主会给奖励的。
郁闷没有vip版本的注册机，不然可以有窗口限制功能（可以关闭指定的标题栏文字窗口），任务管理器之类的都会打不开。

dl123100

原帖由 yhjtj 于 2009-5-25 23:11 发表


你可以试着删除看看，用你的方法搞定，并按我1楼那样贴图，我相信版主会给奖励的。
郁闷没有vip版本的注册机，不然可以有窗口限制功能（可以关闭指定的标题栏文字窗口），任务管理器之类的都会打不开。

对付关窗口的，用Reshacker之类改一下就过了。天琊、XueTr运行后就算加了特征，估计也关不了。

yhjtj

原帖由 dl123100 于 2009-5-25 23:36 发表

对付关窗口的，用Reshacker之类改一下就过了。天琊、XueTr运行后就算加了特征，估计也关不了。

老大！你就别在这掺和了，别人要是按你说的答出来了，版主就不好奖励了。
你就好好歇着等大家回答完毕，来点评一下就好了！

顺便说一下，那个按标题关闭窗口的功能需要vip会员要交50元才行，没找到注册机，老大你没事搞个注册机吧。
软件限制功能，我试过加进去就不好运行了，改了后缀一样歇菜。

[ 本帖最后由 yhjtj 于 2009-5-25 23:54 编辑 ]

zgzxp

原帖由 yhjtj 于 2009-5-25 23:07 发表


管理器是可以看到，但没有进程路径，
安装目录是隐藏的
你可以试着删除看看，他会重建的！

没有进程路径（应该说是映像），安装目录隐藏

难道你不会DIR /A /S XXX
我没有说删除啊，我是说如果是NTFS设置一下权限，重启就可以搞定

其它还有很多，比如我说的那个CMD文件
就可以让冰刃运行起来
它阻止安软运行应该是文件名判断+窗口特征吧
如果说管理器不能看到映像路径的程序就找不到其位置，还玩什么手杀，裸奔吧，大不了GHOST

yhjtj

朋友，你真早！
此贴不是论证想发贴，是悬赏贴，你要是把思路都说了，别人按你的方法做了，版主怎么好奖励他呢。
你要是有思路，有想法，有热情，就不要再等了，赶紧编辑帖子去吧，别忘了贴图哦。
如果不想发手杀过程贴，也请你不要干扰别人答题。ok？

FreeSpace

这个软件安装进来的东西真是够全的了！七八个工具一起上阵，这个软件还是抵御不了的了！不过产生的问题是无法再安装这个软件了，估计是没有清理干净了，有残余，目前不知道知否软件被灭活，通过SRENG没有看到异常。

byxxdrls

用xuetr和wsyscheck搞定。
主力军是xuetr，wsyscheck也被屏蔽，只能清理残余项目了。
我感觉关键是先不要结束那玩意儿的进程，而是要暂停进程运行，然后把其它关键的地方全部解决后，再解决它的进程。

gxrsprite

太简单了 打开 xuetr

先看到SSDT有新的hook，恢复

发现未知进程ftct.exe，结束后会重启

勾上禁止进程线程创建，禁止创建注册表项

结束并删除删除  ftct.exe 和里面的部分不认识的模块
启动项删除  ftct.exe   和另一个忘记叫什么名字的模块，主要是看签名不是微软的确混在里面


强制重启后就没见过他了


删除ftdrv.sys


运行批处理

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 0 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000000 /f

能恢复查看隐藏文件，
不过 文件夹选项中有点奇怪，  显示隐藏的二选一都没有选上，选上的话又会恢复
之后的事情有空重启再说吧

[ 本帖最后由 gxrsprite 于 2009-5-26 13:07 编辑 ]