楼主: 冰轮
收起左侧

[原创文章] 关于U盘病毒清理所谓“误区”的纠正

  [复制链接]
wo1234
发表于 2011-3-10 09:21:55 | 显示全部楼层
回复 9楼 76317683 的帖子

囧~ 确实如此。我承认看到LZ的帖子后没有去验证,这种空想和人云亦云的作风应该改正。谢谢指教。
romidol
发表于 2011-3-11 18:46:51 | 显示全部楼层
学习了,谢谢分享
yu1nizai
发表于 2011-3-11 20:27:00 | 显示全部楼层
  楼主 好认真  谢谢了了。。
冰轮
 楼主| 发表于 2011-3-13 22:50:05 | 显示全部楼层
回复 9楼 76317683 的帖子

谢谢纠正,通常情况下,原帖的意思是通过del命令是无法处理三个参数的,我的意思是系统的del可以接受处理并达到最终的删除目的,这难道不算是对于普通的删除方式的一种容错么。

另外,我现在在模仿系统的del编写易语言代码,最终目的也是像系统的del一样进行处理,您只需要提供一下处理思路即可,不管您是用的什么语言。
我想要的是:比如说,就是我说的那行,怎样具体实现。如果代码变动了怎么办 比如
sysanti.exe -hID
我希望可以脱离系统del命令来实现同样的删除功能。
76317683
发表于 2011-3-14 20:17:12 | 显示全部楼层
回复 14楼 冰轮 的帖子

这个很简单 属于编程最基本的练习
字符串处理 split函数 产生一个一位数组 然后对元素分别处理
天月来了
发表于 2011-3-14 21:02:53 | 显示全部楼层
我在F盘创建rundll32和system.dll以及explore三个文件。

在cmd中输入del f:\rundll32 system.dll,explore  回车后,实际看仅删除rundll32文件,然后再输入del f:\system.dll,explore  回车后,就仅删除system.dll

所以它只删除第一个文件,第二个,就是空格后的以及逗号后的,好象不删除似的。
76317683
发表于 2011-3-14 22:31:07 | 显示全部楼层
回复 16楼 天月来了 的帖子

不是不删除空格后的以及逗号后的
你的命令 del f:\rundll32 system.dll,explore 意思是删除绝对路径文件 f:\rundll32,以及相对路径即cmd当前目录下的system.dll、explore这个两个文件
举个例子:
你在C盘根目录建立system.dll,F盘建立rundll32
然后cmd 命令进入C根目录,输入命令del f:\rundll32 system.dll,explore,你会看到结果这两个文件都删掉了
天月来了
发表于 2011-3-15 10:35:26 | 显示全部楼层
本帖最后由 天月来了 于 2011-3-15 10:38 编辑

那如果在C盘根目录建立rundll32,F盘建立system.dll呢??

再执行输入命令del f:\rundll32 system.dll,explore

会删除F盘的system.dll??

算了,我知道不会,还得解析准确的文件信息才能删除正确。

冰轮
 楼主| 发表于 2011-3-15 15:36:28 | 显示全部楼层
回复 16楼 天月来了 的帖子

我所举的那个例子,是当年颇为棘手的终结者倒计时木马下载器的自动播放配置文件,这个文件我个人理解是 用rundll32.exe运行根目录底下的system.dll文件,在真实的处理过程中,并不会在根目录底下出现rundll这个没有扩展名的文件,所以,我的说法是以实际为基础进行说明,在实际运行过程中,是不需要考虑您说的这种情况的,在根目录下,除非有其他的程序启动所谓的没有扩展名的文件,否则,没有扩展名的文件几乎是没有威胁性的。非常感谢你能手动实际测试我说的问题。但是该建议暂时不予采纳。
我在尝试用易语言处理该问题,我会将这些加入数组,一个一个去验证是否存在然后去删除,这样应该可以解决您提出的问题。
冰轮
 楼主| 发表于 2011-3-15 15:43:55 | 显示全部楼层
回复 17楼 76317683 的帖子

关于实际操作过程中,我曾经处理过这样的问题,有的时候我虽然不是非常理解原理,但是只要达到目的即可。在我的批处理中
有一句
%U%这个U变量接收的是U盘盘符,实际值基本上是这样的     K:
在执行del命令之前,我执行了     K:   命令,即,使所有的命令都基于  K盘这个路径来运行,如果您仔细看过我写的批处理,就会知道我的批处理在没有外部程序对抗的情况下,可以比较完美的处理U盘病毒残留文件。运行环境是XP。
在vista和7下处理磁盘盘符时出现错误,始终无法找到盘符,所以我暂时放弃了批处理这种过于依赖系统本身的脚本。改采用易语言来实现相同的功能,如果您有兴趣,可以看一楼我给出的批处理链接,希望能得到大家的指点。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 14:13 , Processed in 0.142493 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表