【活动】拿什么拯救你，我的红伞！

曲中求

拿什么拯救你，我的红伞

                                               转帖请注明出处和作者，谢谢！
MS现在很流行调用CMD来kill杀软，我先来做一个kill红伞的东东给大家看看，因为对于没有进程保护的杀软来说，用捆绑来实现kill杀软的同时并运行木马是很简单的方法，且因为红伞对自解压文件监控的支持不是很好，所以不用winrar来把两个文件实行前后运行这么麻烦，用另外一个工具filepack可以更为方便的隐藏CMD调用时弹出的窗口，下面看我操作：
⒈首先，我这里不用真正的木马，而用另外一个文件来代替，红伞目前还是报这个文件的：

⒉做一个kill红伞监控和托盘进程的批处理（也可以关闭所有监控，方法类同），打开记事本，在里面写上：taskkill /im avgnt.exe /f（在前）和taskkill /im avguard.exe /f（在后）命令，如果反了，可能在关闭红伞进程时可以看出，但是如果前后顺序没有反，红伞即使关闭了，图标却会还是打开状态，呵呵，这点很重要！还可以把关闭系统自带防火墙命令：net stop sharedaccess一起加上，可以自定义内容，保存为bat文件：

⒊这里，我分别使用filepack和winrar两个工具来做，方便菜菜们对两个压缩工具熟悉，先用winrar把这个文件改名为test.exe文件并做成自解压文件，然后选中解压后运行它自身且对安静模式和覆盖方式进行设置：



再给它加上一层密码：

⒋然后，用filepack对批处理文件和刚刚的test.exe文件同时加压，设置这两个文件在解压后自动运行，为了让大家看到测试后的效果，所以这里仅把批处理设置成隐藏窗口，而test.exe文件设置成显示窗口：

⒌接下来，可以设置你解压的路径，也可以用别的工具提取一些图标来替换默认图标，还可以给将要加压捆绑的程序指定压缩后的路径：

⒍点下一步，可以创建了：

⒎创建完成：

⒏我们把名字改为QQ.rar（伪装成替换图标后的压缩包，这样使“木马”在解压提示要求输入密码时，用户会以为是在输入解压正常程序的密码）下面我们来运行测试一下效果，直接双击运行，看下前后的对比：
运行前：

运行后：


这里最后补充一下，这个测试是捆绑木马欺骗用户的雏形，没有完善的，如果是真正的捆绑，要三个文件：正常程序+批处理+木马，我这里作测试，所以没有把正常程序加进来。另外，可以做得再隐蔽一些，也或者可以这样，把打包好的程序和木马以及解压后的文件夹命名为同一个名字。指定当前解压目录，木马在输入密码后运行一般会自动删除，那么，正常的程序和批处理不用设置成自动删除，批处理文件和木马（要求用户输入密码）解压后自动隐藏运行，而正常程序解压后不自动运行，用户也不会察觉到什么（解压后打开解压文件夹还以为批处理是正常程序的，而解压前输入密码还以为是解压正常程序的）。把捆绑好的程序，伪装成替换图标后的rar压缩包（在这里即为：红伞测试.rar）这样，如果用户不打开隐藏的扩展名的话，还以为这是个压缩包（实际为：红伞测试rar.exe）。如果把这个捆绑完善一下，可能很多用户会在不知不觉下中招。
还有，现在右键单击这个程序，发现有个“用winrar打开”选项，这样一来，用户可以看到里面的程序，有个办法可以屏蔽这个选项（要用另外两个工具才能实现），但是因为考虑到篇幅且本文的目的不是教用户如何捆绑木马或恶意程序，所以这里就不再作介绍：

如果把捆绑按上述要求做好，那么，基本上比较完善了。
总结一下，总的来说，是利用了红伞三个目前尚不完善的地方：
⒈对自解压文件支持不太好。
⒉调用CMD关闭进程后，不会立即退出托盘。
⒊可以用命令直接关闭进程。
看到这里，红伞fans们的心估计凉得差不多了，不过相信也是在意料之中，针对这种情况，大家一般采取用第三方工具来保护红伞的进程（如：SSM），我这里再提供另外一种方法给大家参考：
⒈首先，还是打开记事本，输入以下内容：
@echo off
color a
cls
title 欢迎光临曲韵空间（标题可以自定义）  
set pass=0
set time=0
echo 曲韵空间：http://free5.ys168.com/?khyqs（广告，哈哈！）
echo 你丫想干什么？没密码不让进（恐吓他，嘿嘿！）
:start
set /p pass=快输，不输你就甭想进（心理战术，让他手忙脚乱！）
if %pass%==74513215211 goto ok（输入你的密码）  
if %time%==0 goto end
set /A times=%time%-1
:end
内容可以根据自己的要求自定义，保存为bat文件，我这里作个示范，把它放在C盘根目录下并隐藏：

⒉然后打开注册表HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Command processor双击AutoRun，输入你批处理的绝对路径：

⒊那么，我们现在来试试效果，先在运行里输入cmd看下：



看到没有，呵呵，CMD被加密了，也就是说，如果没有密码，一切CMD命令将无法执行！
⒋我们为CMD加密以后，再试试刚刚我捆绑的程序看看：

很明显，由于对CMD加密，故批处理文件无效，红伞监控还在，所以在输入密码释放时被红伞监控到了，其实这种方法不仅适合保护红伞进程，也适合保护其它杀软和程序不会被批处理kill，方法简单，没有什么技术含量，仅供大家参考。

[ 本帖最后由 Oceanzd 于 2007-4-5 06:28 编辑 ]

snakebone

谢谢老大提供保护红伞的方法。希望官方尽快解决您指出的这个问题。

hnhkxywl

限制一下CDM的权限也可以，适用于NTFS分区系统

danfeng97

高人可否告知下怎么用SSM设置规则保护红伞啊？

蓝色牛仔裤

我想要曲版的桌面~~~
太可爱了....

yzt1004

楼上的

呵呵，我给个链接：http://www.wallcoo.com/cartoon/haru_3/index2.html

我现在用的壁纸你打开网页即可看到，里面还有很多，慢慢挑。。。：）

顺便把我在小红伞论坛的回复也粘贴过来

文章不错，不过好像krnln.fnr这个文件是易语言相关的一个东西，不是真正的病毒
反正小红伞一直认为是病毒，没辙

hzq277284

曲版这种对CMD命令加密的方法看似简单，却给人不小的启发啊，又学习了

蓝色牛仔裤

谢谢~~
yzt好人啊~

hzq277284

你给的那个壁纸网站真的很不错啊

闪电战

P版的avguard.exe在结束后会重新打开