[原创]仿超级巡警U盘免疫的源码(附源码)
文章作者:麦田的怪(blog.mtian.cn)信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
初学汇编,练手写了个没什么技术的小东西,发给大家玩玩,发现BUG后告诉我啊。
[attach]10123[/attach]
向ASM学习,把源码也发出来。
代码和可执行文件都在附件里。 只免疫还不够捏,病毒不会改回来啊
再加上主动防御监控的就爽了 [s:265]
刚在哪里见过这种方法,利用一个文件夹里不能有两个一样名字的文件这个道理。又怕病毒改写autorun.inf,所以设置为不可写。 [s:264] 我一般都是禁止自动运行,然后在cmd窗口查看是否有可疑文件 [quote]引用第2楼asm于2007-04-18 18:24发表的 :
[s:265]
刚在哪里见过这种方法,利用一个文件夹里不能有两个一样名字的文件这个道理。又怕病毒改写autorun.inf,所以设置为不可写。[/quote]
这个办法早就出了,以前我还用这个原理些过一个批处理呢
是利用文件夹命名的漏洞。 这个用GDI做更简单吧?
呵呵,你做出来还挺逗的~
"屁兔子,不要乱点~"
----------------------------------
病毒只要判断盘符是否有autorun.inf. 然后
[code]
c:
attrib -s -h -r autorun.inf
ren autorun.inf 1
d:
.
.
.[/code]
再生成自己的autorun.inf文件,修改注册表启动自动运行服务即可.
虽然利用WINDOWS的文件漏洞可以建立这样的文件夹,病毒只要修改只读权限后改掉名称,删不掉也没关系~
. 这个程序有矛盾。磁盘免疫,这么说明autorun类病毒在磁盘写不进autorun.inf。但是作者又有个“取消免疫”这样一来,如果病毒利用“取消免疫”里的代码呢?那么这个免疫功能不是失效了么?
[s:270] [quote]引用第5楼sudami于2007-04-18 22:42发表的 :
这个用GDI做更简单吧?
呵呵,你做出来还挺逗的~
"屁兔子,不要乱点~"
----------------------------------
病毒只要判断盘符是否有autorun.inf. 然后
.......[/quote]
呵呵,那句话是给我女朋友的。我刚刚学编程,还不懂什么GDI呢。
晕了,病毒没考虑那么多的吧。 [quote]引用第6楼asm于2007-04-19 00:41发表的 :
这个程序有矛盾。磁盘免疫,这么说明autorun类病毒在磁盘写不进autorun.inf。但是作者又有个“取消免疫”这样一来,如果病毒利用“取消免疫”里的代码呢?那么这个免疫功能不是失效了么?
[s:270][/quote]
病毒如果用我的方法取消免疫的话,岂不是要遍历那个文件夹下的目录?
毕竟用的人不多,病毒不会因为我这个小东西多写那么多代码吧。 [quote]引用第3楼东方于2007-04-18 18:32发表的 :
[s:264] 我一般都是禁止自动运行,然后在cmd窗口查看是否有可疑文件[/quote]
那样也比较麻烦啦
最好是 事先就建立一个autorun.inf 再 attrib autorun.inf +r +h +s +a
这样好歹可以算是半个免疫 [quote]引用第8楼麦田的怪于2007-04-19 16:05发表的 :
病毒如果用我的方法取消免疫的话,岂不是要遍历那个文件夹下的目录?
毕竟用的人不多,病毒不会因为我这个小东西多写那么多代码吧。[/quote]
我想这个主要是为了与题目吻合.(仿超级巡警)
记的超级巡警就有 取消免疫 [quote]引用第2楼asm于2007-04-18 18:24发表的 :
[s:265]
刚在哪里见过这种方法,利用一个文件夹里不能有两个一样名字的文件这个道理。又怕病毒改写autorun.inf,所以设置为不可写。[/quote]
如果目录下有个autorun.inf的文件夹,傻比微软就会认为文件名重复,设置权限的话,可以做到病毒无法修改该文件夹,但是病毒确实没什么智商,但作者显然不是傻B,他可以删除了再建啊.
就算是文件夹,也可以用命令rd autorun.inf /s /d 来删除啊!
我有个不成熟的想法,当文件夹中有文件被运行的时候,该文件夹是不能修改的,不知道大家是否可以往这个方面去想想,我目前还没该方面的思路。。。 这个好象在哪里见过,而且本人还使用过,但是那个有个缺陷,就是在必须插入U盘后,方可执行,而且还有个弊端,就是在每个磁盘下都生成个autorun.inf的文件夹。感觉很不舒服。
当然最好的办法就是组策略中禁止自动播放,什么事都没有 [s:264] 这个试过,不过使用了这个就不能美化U盘咯。。
所以我还是选择在组策略中禁止自动播放 [s:265]
而且也不是没有办法突破啊! rd autorun.inf /s就删了! md autorun.inf 然后 近入 autorun.inf md xxx..\ 再 attrib autorun.inf +r +h +s +a
基本上就OK了 。 一般我用U盘都是禁止掉他的自动播放然后在地址拦里输入H:\ 假设U盘是H盘, 原先是右击打开,前几天遇到一个右击打开的菜单和没有放入AUTORUN.INF一摸一样.没有AUTO选项,点打开同样激活EXE . [quote]引用第15楼狂封异袭于2007-06-27 17:45发表的 Re:[原创]仿超级U盘免疫的源码(附源码) :
一般我用U盘都是禁止掉他的自动播放然后在地址拦里输入H: 假设U盘是H盘, 原先是右击打开,前几天遇到一个右击打开的菜单和没有放入AUTORUN.INF一摸一样.没有AUTO选项,点打开同样激活EXE .[/quote]
那个AUTORUN.INF的内容是这样写的。
[AutoRun]
open=xx.exe
shell\open=打开(&O)
shell\open\Command=xx.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=xx.exe
随便你怎么点都会中招的.. [quote]引用第14楼.メ断铉.﹎于2007-06-27 15:27发表的 Re:[原创]仿超级U盘免疫的源码(附源码) :
md autorun.inf 然后 近入 autorun.inf md xxx.. 再 attrib autorun.inf +r +h +s +a
基本上就OK了 。[/quote]
这样是删不掉了,可是可以改名字的。
效果也是一般 [quote]引用第17楼achillis于2007-06-30 16:54发表的 Re:Re:[原创]仿超级U盘免疫的源码(附源码) :
这样是删不掉了,可是可以改名字的。
效果也是一般[/quote]
所以嘛,以后U盘传播都要朝感染方向发展,autorun这招从熊猫开始就被用烂了。
现在除了某些女生和一些电脑小白,其它人插上U盘都不会直接双击滴。
感染好啊,即便是高手,也不可能随时校验MD5滴,哈哈哈哈。 gpedit.msc 这样还省了程序运行时的内存,而且绝对有效..呵呵 有一句话是。MD 来 RD去 。 。
Re:Re:Re:[原创]仿超级U盘免疫的源码(附源码)
Quote:
引用第17楼achillis于2007-06-30 16:54发表的 Re:Re:[原创]仿超级U盘免疫的源码(附源码) :
这样是删不掉了,可是可以改名字的。
效果也是一般
所以嘛,以后U盘传播都要朝感染方向发展,autorun这招从熊猫开始就被用烂了。
现在除了某些女生和一些电脑小白,其它人插上U盘都不会直接双击滴。
感染好啊,即便是高手,也不可能随时校验MD5滴,哈哈哈哈。
你看下面
[AutoRun]
open=xx.exe
shell\open=打开(&O)
shell\open\Command=xx.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=xx.exe
通过什么方法可以绕开。? [quote]
[AutoRun]
open=xx.exe
shell\open=打开(&O)
shell\open\Command=xx.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=xx.exe
通过什么方法可以绕开。?[/quote]
点"文件夹"就可以打开了 [s:265]
[IMG]http://www.qudoo.net/p?id=4028808e13d349cc0113d84779803a51[/IMG] 顶楼上的,我平时就是这么做的...
在U盘里建autorun.inf文件夹也不安全了,我就遇到一个,把我建的文件夹给改名了。
页:
[1]