刚刚运行的破壳蜗牛，怎么能说没用，看看这个

Saturn87930

后面加入的那个样本注入了EXPLORER.EXE,DLLHOST.EXE,CMD.EXE,AUTOEXEC.BAT
我不知道有用没……
前面的那样本在VM上的实验就是EXPLORER.EXE破坏了
开机见不了EXPLORER.EXE
新建EXPLORER.EXE任务会提示缺少BROW*.DLL动态链接库文件文件
XP的系统运行就得调用这动态链接库文件……


本来不会想到这个的，关键有次同学刚刚装完系统就进不去，情况和这个一样，我就觉得，从这里下手应该会容易一些吧

[ 本帖最后由 Saturn87930 于 2007-5-18 12:57 编辑 ]

九尾野狐

我系统盘除了例外的程序和一些目录外

是全盘禁止创建、修改、删除文件/文件夹的

呵呵……

你的这些招数对我没用

Saturn87930

原帖由 没注册 于 2007-5-18 12:57 发表
我系统盘除了例外的程序和一些目录外

是全盘禁止创建、修改、删除文件/文件夹的

呵呵……

你的这些招数对我没用

呵呵，东西是要面向大众的哦，你防成这样，我对你不抱太大希望，你帮我测试还可以的~！

九尾野狐

原帖由 Saturn87930 于 2007-5-18 12:54 发表
后面加入的那个样本注入了EXPLORER.EXE,DLLHOST.EXE,CMD.EXE,AUTOEXEC.BAT
我不知道有用没……
前面的那样本在VM上的实验就是EXPLORER.EXE破坏了
开机见不了EXPLORER.EXE
新建EXPLORER.EXE任务会提示缺少BR ...

那个这样吧

等待关机指令

并且让程序在关机的时候最后关闭

这样一旦检测到关机指令

由于程序是最后关闭的（得保证在次之前杀软甚么的都关闭了）

然后恶意修改MBR

九尾野狐

原帖由 Saturn87930 于 2007-5-18 12:59 发表





呵呵，东西是要面向大众的哦，你防成这样，我对你不抱太大希望，你帮我测试还可以的~！

EQ论坛里的系统基础规则也跟我差不多

呵

福田

靠！NOD32和红伞C版，包括AVG全都查不出！（最新病毒库）
这蜗牛很厉害啊！