我在构思如何不安装EPO也能使用prescan，完成了前一半工作，请求DX帮助完成后一半

firehole705

虽然有人对prescan不感兴趣
但是多一种选择也是好事情
而且在Native模式下杀毒确实很诱人
有些嵌入底层的病毒这个时候会无法自我保护了

就像有人把江民的KV2007的bootscan提取出来一样
我现在做了一些前期工作
但是epo的安装条件还是很高的
所以打算请这里有条件安装了epo的大侠们帮个忙

先说我的前期准备
首先用论坛里的NAI帐号到官网下载了最新的Prescan 1.0 sp2
这个已经能兼容8.5I了
安装完毕
发现注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager
里面有一项BootExecute内容是autocheck autochk * nativscn
双击打开后发现是两条
autocheck autochk *
nativscn
前者在bootscan提取版里面也有
可能和进入native模式有关
不去管它
到c:\windows\system32里面找到nativscn.exe
看属性正是McAfee的prescan
也就是说其实每次启动的时候已经调用了prescan
可能是它没有找到特定注册表项或者特定文件才没有启动而直接跳过

现在就想请装了epo的大侠在客户端机器上装上监视注册表和文件系统的软件来监视
看看epo在启动客户端的prescan之前改了哪些东西
如果检测到了
就可以做一个相应的注册表文件或者批处理之类的供大家使用了
监视软件在这里可以下载http://www.microsoft.com/technet/sysinternals/default.mspx
看样子这个公司被微软收购了啊
里面有各种监视软件而且全免费

不知道有没有大侠感兴趣啊？
本人热切盼望啊

[ 本帖最后由 firehole705 于 2007-3-29 11:17 编辑 ]

firehole705

大家不要只看看啊

successc

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager
里面有一项BootExecute内容是autocheck autochk * nativscn


只要有上述内容，就已经可以开机扫描了。

firehole705

晕啊，都没认真看我帖子。你说的注册表项我在顶楼里都提到了啊。那只是引导程序，没有指令不会启动扫描的。

yashoo

楼主是想要一个平台试验一下

firehole705

不是找平台……
是我的机器装epo太费事，我连mhip都不用了，还装epo?
就是想找位装了epo的兄弟帮忙，可是大家好像都没兴趣。

chongzi33

支持LZ,但兄弟我不懂啊

思亭

支持LZ，但偶没EPo...

successc

REGSHOT LOG 1.61e5
要点注释:
日期时间:2007/6/21 00:37:59  ,  2007/6/21 00:40:21
计算机名:IBM-THINK , IBM-THINK
使用者名:Success , Success

----------------------------------
修改值:8
----------------------------------
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\Alerts\dwLastModified: 0x0000014F
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\Alerts\dwLastModified: 0x00000151
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\Email Scanner\Outlook\OnDelivery\dwLastModified: 0x00000152
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\Email Scanner\Outlook\OnDelivery\dwLastModified: 0x00000154
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\dwLastModified: 0x0000217D
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\dwLastModified: 0x0000217F
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\szLastScanned: "F:\Temp\~DF7E8A.tmp"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\szLastScanned: "C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\Unpack\pkg00128268600052770000_18634.spkg"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\dwFilesScanned: 0x000119A5
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\dwFilesScanned: 0x00011AED
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\Configuration\dwLastModified: 0x0000047C
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\Configuration\dwLastModified: 0x0000047E
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 7D 1D E8 12 19 B1 73 E7 C2 CB 54 E3 21 9A 61 BA 86 9A 13 1F 3A 33 AC 5E 20 45 BA B5 E7 9E C3 0D 97 E8 AA C2 CD F0 94 07 C1 C7 B6 BB B6 FE D7 AB 3D 10 97 E9 5D 11 05 49 7F B9 D7 C9 C8 B3 54 E6 18 36 FF AF CC 49 28 37 E1 FE A3 0C C6 31 41 5C
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 1B 64 7C BF 0A 3B 92 C0 43 AC DF 92 EB 11 3F 13 7F 2B 12 93 62 94 B1 8A 45 12 84 E4 48 5C A5 AC C9 46 76 D6 74 A1 7E 1A 95 DC 7C 61 1A 98 E3 A1 68 99 E1 01 22 57 1F 22 FD 7B AF F3 A8 75 8B C1 BD 0C 43 2B 01 CE CD 2C CE ED FF 71 3C B2 D5 94
HKEY_USERS\S-1-5-21-838535167-3686985335-3465003400-1004\SessionInformation\ProgramCount: 0x00000005
HKEY_USERS\S-1-5-21-838535167-3686985335-3465003400-1004\SessionInformation\ProgramCount: 0x00000006

----------------------------------
总计:8
----------------------------------


我看不出来，到底是哪个影响了，这是我没用epo设定prescan扫描和使用epo设定prescan扫描后，用regshot比较的注册表的不同点。

firehole705

谢谢Success啊，我也看不出来。
也可能是在某些文件里动了手脚，比如.ini文件或者其它文件。
回头我再想想办法，文件监控确实挺麻烦的，windows总是不停访问文件和注册表。
看看能不能用虚拟机建立一个epo的环境。