|
|
发表于 2007-5-6 20:25:19
|
显示全部楼层
这个东西不错。把具体的说明转过来,大家一起学习。
【历史回顾】
流氓病毒免疫程序,可以追溯到2005年深山红叶大侠在wuyou论坛的深山红叶修正工具箱讨论专帖讨论安全问题时候的创意和思路。当时深山红叶老师,就发布了初期版本。当时的版本功能比较简单,内容也是相当少,可免疫的流氓种类和数量,也就仅仅是那些少数典型的流氓软件。红叶老师后来又更新过数个版本。那时候的程序架构,也仅仅是一个批处理cmd+一个setacl.exe文件和一个reg文件。所有的免疫条目都在cmd文件里面,可执行代码和免疫条目在同一个文件里面。缺点也显而易见,就是在更新免疫条目的时候,不得不重复一行行的包括执行代码在内进行补充,每次更新,工作量异常大,而且还容易出现语法类错误等等。后来我就修改红叶老师的这种原始架构版本的流氓病毒免疫。我的修改内容包括,查找存在的bug,查找免疫过失,一行一行的查找,工作量异常艰巨。一个版本,我用了N天进行修改。后来把修改版本提交给红叶老师。
当时和红叶老师提起这事就说,每次更新,任务异常艰巨,工作量很大,还很容易出现错误。红叶老师毅然决定重新改写程序,采用全新的架构来做。于是就出现了现在的架构,执行代码部分和免疫条目不在同一个文件里面。更新免疫条目,仅仅更新相应的条目文件即可,不会影响可执行代码的执行。红叶老师就把新架构的初级版本放了出来。新架构的初始版本,相对于老架构的最后版本,功能方面、免疫数量方面,还有比较大的差距。但是新架构的模块化、开放性,决定着新架构的程序会有更好的发展,会更适于更新修改。尔后,新架构的代码bug修正,免疫条目更新,功能的完善和添加,就由我开始接着做。几个月间,我天天到各大论坛查找HijackThis和SReng日至。免疫条目在我几个月的补充下,发展到现在的数量。除了免疫条目外。程序主体,我也进行了大幅度的改写,重写了绝大多数代码,但是仍旧保持着模块化和开放性。仍然是红叶老师新架构程序的延续。
对于流氓软件和病毒,已经是如此的猖獗。国家法律机器好比一张废纸,在这些流氓面前,竟然表现的如此苍白无力。法律既然保护不了我们,我们只好寻求自保。经过几个月的奋战,程序也基本上定型,也趋于更加完善。但也让我感到了,一个人是相当的渺小。一个人的力量是那么的微弱无力。我们对于流氓软件和病毒的反抗,只有大家联合起来共同站在同一条线上,才能更大力度的遏制它们。只凭一个人的力量,已经是很微不足道。所以,对于这个流氓免疫程序,也只有大家共同来完善,才是最终之路,只凭一个人的力量来更新,杯水车薪而已,不足以最大程度的遏制这些流氓。希望大家根据我的DIY简明教程,降低门槛,使大家都能参与进来。共同来完善流氓免疫程序。
【程序架构简介】
本简介以V1.0.5.0为例进行讲解。见帖子:http://bbs.et8.net/bbs/showthread.php?t=815143。
程序使用批处理缩写,然后使用WinRAR打包成一个单一exe文件。可以使用WinRAR把程序主体文件解压出来。解压出来一共9个文件:
RogueDead.bat :程序主体可执行文件
Lbl.exe : pfox大侠为我制作的全自动清除指定磁盘卷标的小程序
prg.txt :对应%programfiles%目录及其子目录的免疫条目,通常是C:\Program Files
sys.txt :对应%systemroot%\system32目录及其子目录的免疫条目,通常是C:\WINDOWS\system32
win.txt :对应%systemroot%目录及其子目录的免疫条目,通常是C:\WINDOWS
sysdrive.txt :对应%systemdrive%目录及其子目录,通常是C:盘根目录
temp.txt :对应%temp%目录,也就是系统临时文件夹
appdata.txt :对应%APPDATA%和%ALLUSERSPROFILE%\Application Data目录,通常是C:\Documents and Settings\用户\Application Data和C:\Documents and Settings\All Users\Application Data
template.txt :对应%USERPROFILE%\Templates目录和%ALLUSERSPROFILE%\Templates目录,通常是C:\Documents and Settings\用户\Templates和C:\Documents and Settings\All Users\Templates
【程序DIY步骤】
使用到的工具:WinRAR,UltraEdit,文件和注册表监视工具(建议使用Total Uninstall)
[文件监视]
以百度超级搜霸为例进行讲解。
1.开启Total Uninstall为监控状态,然后安装百度搜霸。
2.运行百度搜霸安装程序,至安装完毕。
3.运行一下百度搜霸的各项功能。注意:强烈建议运行一下流氓,因为很多流氓,安装的时候,并不全部释放所有文件,而运行后再释放某几个关键文件,如自我保护的驱动等等。
4.监视工具对比安装前后变化情况。
5.得出百度搜霸生成的文件夹及文件如下:文件夹C:\Program Files\baidu,文件夹C:\Documents and Settings\Administrator\Local Settings\Application Data\baidu,文件C:\WINDOWS\system32\BDGuard.DAT,文件C:\WINDOWS\system32\BDGuardS.DAT,文件C:\WINDOWS\system32\drivers\BDGuard.SYS
[添加免疫条目]
OK。既然得知了百度搜霸产生的文件和文件夹。做百度搜霸的免疫就很好做了。步骤:
一、添加免疫条目:
1.在prg.txt里面添加一行:
代码:
baidu2.在sys.txt里面添加这么几行:
代码:
BDGuard.DAT
BDGuards.DAT
drivers\BDGuard.SYS3.在appdata.txt里面添加一行:
代码:
baidu二、对每一个添加过的文本去重排序,排除重复的行,并进行排序。
1.用UltraEdit打开免疫条目文件。
2.点击菜单上的:文件->排序->高级排序/选项
3.要勾选“删除重复的项目”,勾选“忽略大小写”,然后点击排序按钮
4.保存文件
[程序打包]
1.用WinRAR打包这九个文件,选择创建自解压格式压缩文件
2.在注释中加入如下代码:
代码:
;下面的注释包含自解压脚本命令
Path=%TEMP%\
SavePath
Setup=RogueDead.bat
Silent=1
Overwrite=1
3.制作自解压格式包
注意:注释代码,就是程序打包代码,可以不用自己设置自解压选项了。如果自己喜欢给程序适用一个个性化图标,可在WinRAR自解压选项里面加载图标文件。
【后记及展望】
目前,流氓病毒免疫程序,相对来说,已经比较成熟了。对于免疫条目的更新,一个人的力量,太微不足道。现在1600多条的免疫条目,耗费了我几个月的时间。我也决定,我不再自己去搜寻免疫条目。我以后只负责更新改写主程序。免疫条目的更新,希望交给大家共同完成,众人拾柴火焰高。我以后会不定期更具大家反馈的流氓插件情况进行更新免疫条目,但我自己不会再去各大论坛,各大站点去搜寻流氓软件、病毒的信息。
如果大家感兴趣,可以自发组成一个team,来共同来维护和扩充各模块的内容。
期望大家做到以下:
1.检查我的可执行文件RogueDead.bat,有无bug、错误及不足。
2.检查免疫条目有无误杀现象,有无影响正常软件的现象。
3.扩充我没有免疫到的流氓软件,扩充我没有免疫到的病毒和木马。
4.大家的建议,及想法。我希望大家不要拘束,什么想法都可以提,尽可能的发散思维。只有这样,才会有创造性的思维。有句话叫做,没有做不到,只有想不到。
我说一下,我下一步要做的事情:
我准备再改写一次主程序,把程序由cacls方式,改为使用第三方的setacl,优点是:即使已经中了相应的流氓软件,使用setacl方式,照样可以把系统中存在的流氓干掉。这也体现了cacls的严重不足。希望免疫条目的更新,大家能够很好的完成。
此帖于 2007-01-03 19:03 被 Phexon 编辑. 注意:鉴于本程序目前正在完善中,请对于重要的机器,请慎重使用。
为了更好的提交反馈信息,建议大家在进行免疫前,请先运行命令
代码:
dir /a /s /b "%SystemRoot%\">>D:\systemroot.txt。如果机器免疫后出现问题,请把D:\systemroot.txt提交给我,以让我排查原因。
一、介绍
借助NTFS文件权限限制的原理,预先创建若干流氓目录的同名文件或同名目录,对流氓病毒目录进行权限免疫。要求系统分区采用NTFS文件系统。不占用任何系统资源,不需任何程序驻留,不需任何用户干预。即可免疫目前到今日为止绝大多数大部分流氓软件和部分病毒木马的感染!尤其是可以防范捆绑安装!
本程序的免疫对象,以流氓软件为主,当然也包括大量的病毒和木马的免疫。其中有接近300个流氓软件的免疫,几乎目前可见的流氓软件都做到了免疫。由于流氓软件生成的目录相对比较固定,所以本程序虽然不是特征码方式,但从一直以来的实际使用效果来看,却是相当有效。
此程序思想及程序及程序架构初期来自深山红叶,这次我对这个程序进行了大量的代码重写。做了很多方面的排错等操作。这次发布征求了一下深山红叶老人家的意见,得以使用原创两个字发布。并且为了以后更好的升级,这次发布增加了版本号。
二、程序特性及更新部分
1.免疫数量及条目进行了大量的更新。到1.0.9.0版本,免疫条目由原来的478条增加至目前的2606条。每一条都是经过手工筛选,这次更新倾尽了我极大的心血。可以进行免疫的流氓软件达近300个。
2.增加了卸载功能。应广大CCFer的要求,以及为了大家无后顾之忧,于是增加了卸载功能,并且新版本添加了跨版本卸载功能。
3.增加了系统分区是否 NTFS 格式的判断。因为本程序的免疫原理基于 NTFS 分区的权限特性。而有少数网友,不仔细看说明,使用的 FAT32 格式的分区,却喊着免疫无效。于是我对程序增加了系统分区是否 NTFS 格式的判断。如果是NTFS,没有任何提示,继续执行免疫。如果是FAT32等格式的分区,将会提示并不予执行免疫操作。并且给出自动化转换系统分区为 NTFS 格式的方案。
4.改写了可执行代码。改变了空文件生成策略。使程序更加稳定。
5.手工排检去除了绝大多数的免疫误杀错误。本人手工一条一条的排检,去除了qqedit等免疫误杀的地方。使程序几乎不再误杀。
6.修正了可执行部分的很老的版本的低级bug。修正了例如带空格目录名只输出前半部分的bug。
7.程序采用了模块化设计。任何人都可以在不更改可执行文件bat的情况下,进行免疫条目的升级。并且模块化的设计,对于功能的增加或者去除,是轻而易举的事情。
8.这次进行了几乎全部的重写。不管是从架构上还是功能上。
注意:
由于本程序是使用了0字节文件或者空目录进行提前占位的策略,而这些0字节或者空目录,对系统并无害。而对于恶意软件清理助手等工具扫描的策略也是看对应目录是否有他的数据库中的文件名或者目录名。所以,使用本程序免疫系统之后,恶意软件清理助手等工具被报告被免疫之处感染流氓软件。这是正常现象。
三、后记
这次更新,耗费了我巨大的心血。最近一个多月里每天都在对它改写并升级。现在终于基本上稳定下来了。不管从功能上还是稳定性、还是精确度上,都已经比较稳定了。本程序我将不断地进行更新,为了方便以后的更新,于是这次增加了版本号。这个版本我以 V 1.0.0.0的版本号进行发布。强烈推荐更新到最新版本1.0.9.0。
为了使本程序更加的完善,更好的服务于大家。在此我希望大家来做这些:
1.检查程序中的可执行代码的错误及bug。
2.检查还有没有误杀现象。虽然我倾尽全力几乎解决了全部的误杀,但我现在还不保证百分百无误杀。
3.在本帖子跟帖提交本程序没有免疫到的流氓软件。最好也提交都在哪些目录生成哪些文件的信息。
4.系统病毒和木马信息也提交。我下一步打算是将免疫范围扩大的更多的病毒和木马。
程序更新为1.0.9.0。欢迎下载使用
Revision history
20. RogueDead V 1.0.9.0 2007.05.01
+增加了100多条免疫条目
+增加了数条hosts屏蔽条目
+增加功能使程序为单文件,简繁双语界面
+增加手工选择语言界面功能,以在自动检测错误之时手动切换
*改进优化了若选择转换FAT32为NTFS时,重启继续执行相关的代码
19. RogueDead V 1.0.8.8 2007.04.30
+增加了100余条hosts屏蔽条目
+增加数条免疫条目
+增加功能使禁止策略不必重启立即生效(不支持Windows 2000)
+增加版本更新历史查询功能
+推出单独的繁体中文(Big5)版本
*修改部分界面内容
*修改部分内容为Unicode编码
*优化了部分执行代码
*修正了一处禁止策略无效的bug
18. RogueDead V 1.0.8.7 2007.04.23
+增加了若系统分区为FAT32时并选择转换分区,完毕后自动继续执行免疫的功能
+增加了220余条hosts屏蔽条目
+增加了数十条免疫条目
17. RogueDead V 1.0.8.6 2007.04.18
+增加了数项hosts免疫条目
*进一步增强了兼容性
16. RogueDead V 1.0.8.5 2007.04.17
+增加了数十免疫条目
+增加了数十条hosts免疫条目
*改进了一点兼容2000的代码,避免了为了兼容2000而给xp或者2003系统可能带来的兼容问题。
15. RogueDead V 1.0.8.3 2007.03.12
+增加了数十条免疫条目
+增加了hosts屏蔽条目
*修正了一处可能会导致摄像头问题的小bug
14. RogueDead V 1.0.8.2 2007.01.31
+增加了部分AD免疫条目
*更好的兼容了Windows 2000
*修正了为了兼容Windows 2000而引起Windows XP兼容性问题的bug
*修正了出现函数定位错误的bug
13. RogueDead V 1.0.8.1 2007.01.30
*对Windows 2000系统进行了更好的兼容
*优化了几条语句
*修正了hosts免疫导致的126邮箱不能登陆问题
12. RogueDead V 1.0.8.0 2007.01.29
+增加了hosts免疫功能,hosts来自我收集的很小的一个
*重新回归简体中文单语言界面。但对代码优化,可以用在英文版开启东亚语言支持的系统上。
*优化了部分代码,更加简练。执行效率更高。
*对2000增强了兼容性。
*去掉合并了一些菜单。更加简洁。
*修正了几处很小的bug
11. RogueDead V 1.0.7.0 2007.01.26
+中英双语界面,根据系统设置自动调用语言界面,无需人工选择
*修正了对卡巴斯基的klogon.dll 文件误杀的bug
*去掉了某些兼容性不好的条目
*修正了call语句调用的bug
*改进了某些语句的,考虑更全面
*其他一些细小的调整和细小的bug
10. RogueDead V 1.0.6.2 2007.01.17
+增加了少数几条免疫条目
*全部重写了跨版本卸载部分,使跨版本卸载时候的速度和效率大大提高
*修正了跨版本卸载无效的bug
9. RogueDead V 1.0.6.1 2007.01.15
+增加了对用户目录下Local Settings目录下病毒的免疫
+增加了数10条免疫条目,总条目已达空前的2295条
*修正了1.0.6.0免疫后出现批处理文件无权限执行的bug。解决方法:在命令行下执行命令:
代码:
echo Y|cacls "%SystemRoot%\cmd.exe" /C /P everyone:F&&del /a /f /q "%SystemRoot%\cmd.exe"
8. RogueDead V 1.0.6.0 2007.01.13
+增加了数百条免疫条目,多谢诸位兄弟提交免疫条目
+增加了跨版本卸载功能,注意,速度可能很慢,请优先使用同版本卸载。
+增加了大量仿冒进程的免疫
+增加了ActiveX免疫和取消免疫功能
+增加了删除部分流氓软件注册表残留的功能
*改变了获取磁盘卷标的策略,避免了特定情况下获取错误的bug
*修正了手工免疫时磁盘分区格式识别错误的bug
*修正了导致InstallShield安装程序安装出错的bug
-去掉了可能引起基于IE内核的第三方浏览器兼容性问题的条目
-取消了对temp临时文件夹中条目的免疫,以避免兼容性问题
-取消了%Sytemroot%\temp目录的免疫,以避免兼容性问题
-精简了大量的条目,只保留PE结构的文件(例如exe、com、dll等)
*其他细小调整
7. RogueDead V 1.0.5.0 2007.01.02
+增加了数百条目,总条目达到1619条
+增加了在转换系统分区为NTFS时对卷标的检测并实现自动化输入执行
+增加了Autorun病毒清理的功能,移植自我另外一个程序
*权限策略修改为更保守的方式,避免了主体程序原因导致的误杀
-取消了对Windows Live Toolbar的免疫
*改进了程序多处代码
*修正了一些Bug
*其他细小调整
6. RogueDead V 1.0.2.0 2006.12.25
*修正了一处致命bug
*修改了几处显示错误
*修改了权限方式,更保守一些
*添加了数项免疫条目
*其他一些细小调整
5. RogueDead V 1.0.1.1 2006.12.21
*修正了两处小bug
4. RogueDead V 1.0.1.0 2006.12.20
+增加了手工免疫指定的单个的目录或者文件的功能
+增加了手工取消免疫指定的单个的目录或者文件的功能
*修改了权限设置策略,新策略使权限为继承性的
*增加了部分免疫条目
*优化去除了部分无关紧要的条目
*其他一些细小调整和修正
3. RogueDead V 1.0.0.7 2006.12.19
*修正了对NOD32的误杀
*修正了对全能助手的误杀
2. RogueDead V 1.0.0.6 2006.12.19
*修正了一处致命bug
*部分功能代码部分进行了优化,执行效率和速度更加提高
1. RogueDead V 1.0.0.0 2006.12.18
*进行了功能等大幅度重写后的初始版本。
此帖于 2007-05-01 10:56 被 Phexon 编辑. |
|
狗仔卡
提升卡
置顶卡
变色卡
恢复卡