比较容易理解的机器狗预防方法

殘念

有大半月没上网盟了吧.今天偶然上来转了下发现居然有新的机器狗变种.看好多人都中啦吓了一跳,敢紧打电话手下网吧问问情况.他们都说没事,我就问网上的朋友拿了样本试了下.发现还是和以前狗狗特征一样.

然后坛子上又是一堆这方法,那方法.可是你们有没有考虑过为什么这么久啦微软一点动静都没有.这是为什么?如果真的对微软的windows有这么大的威胁的话他们会不处理么?那是因为windowsXP其实本身就可以防御机器狗,只是大家习惯性的认为微软系统漏洞太多而不信任它,总是希望第三方来解决吧.

废话就说这么多.谈谈我是如何用XP来防御机器狗吧.其实这个方法我在IGM时期就发过,而且也预言过狗应该不只是通过userinit.exe来达到目的,原理上狗可以通过任何XP系统文件来达到目的.

狗的原理我引用一下2-14兄弟的贴子

超级字串参考＋
地址 反汇编 文本字串
00401056 PUSH explorer.00401029 pcihdd
004010B1 PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
0040113D PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
004011DB PUSH explorer.00401029 pcihdd
004011E0 PUSH explorer.00401029 pcihdd
0040120F PUSH explorer.00401029 pcihdd
0040126C PUSH explorer.00401029 pcihdd
00401271 PUSH explorer.00401029 pcihdd
0040129C PUSH explorer.00401029 pcihdd
004012FC PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
00401318 PUSH explorer.00403000 对不起,驱动程序的加载没有成功,程序将无法运行.
00401367 PUSH explorer.0040302E \\.\physicalharddisk0
0040145E PUSH explorer.00403044 \\.\physicaldrive0
0040162A PUSH explorer.00401000 %systemroot%\system32\drivers\pcihdd.sys
00401670 MOV DWORD PTR SS:[EBP-1C],explorer.00403 分配内存不成功
00401684 MOV DWORD PTR SS:[EBP-1C],explorer.00403 寻址文件不成功
0040168D MOV DWORD PTR SS:[EBP-1C],explorer.00403 不支持的磁盘分区
00401696 MOV DWORD PTR SS:[EBP-1C],explorer.00403 第一个分区不是启动分区
004016AA MOV DWORD PTR SS:[EBP-1C],explorer.00403 该文件是压缩文件，不能操作
004016B3 MOV DWORD PTR SS:[EBP-1C],explorer.00403 获取文件原始信息失败
004016CA MOV DWORD PTR SS:[EBP-1C],explorer.00403 打开文件失败
004016DE MOV DWORD PTR SS:[EBP-1C],explorer.00403 加载驱动失败
004016ED PUSH 0 (初始 cpu 选择)
00401708 PUSH explorer.0040132B %systemroot%\system32\userinit.exe
00401720 PUSH explorer.004030E7 操作成功


这是详细 代码！

引用的目的不是为了让大家理解..大家注意这一行

004016AA MOV DWORD PTR SS:[EBP-1C],explorer.00403 该文件是压缩文件，不能操作

注意 该文件是压缩文件,不能操作....注意...

OK,我把系统盘里的windows,program file两个文件夹做一个内容压缩.

具体方法是 挂双硬盘把目标硬盘挂从盘启动(用winPE启动也行) 压缩目标硬盘上的windows和program file 文件夹属性-高级-压缩内容以便节省空间(勾选)-应用即可.注意一定要打开隐藏文件.不然隐藏文件是不会被压缩的

喜欢命令模式的朋友可用以compact /f /i /s

符上compact参数

第一压缩完成后explorer.exe需要手动单独压缩一下

/C 压缩指定的文件。会给目录作标记，这样以后添加的文件
会得到压缩。
/U 解压缩指定的文件。会给目录作标记，这样以后添加的文
件不会得到压缩。
/S 在指定的目录和所有子目录中的文件上执行指定操作。
默认 "dir"是当前目录。
/A 显示具有隐藏或系统属性的文件。在默认
情况下，这些文件都是被忽略的。
/I 即使在错误发生后，依然继续执行指定的操作。在默认情况
下，COMPACT 在遇到错误时会停止。
/F 在所有指定文件上强制压缩操作，包括已被压缩的文件。
在默认情况下，已经压缩的文件被忽略。
/Q 只报告最重要的信息。
filename 指定类型、文件和目录。

注意,对windows文件夹进行操作的时候必需用另一块带操作系统的硬盘启动,因为当前正在运行的程序是不可以操作,比如explorer.exe等.

说下为什么这么做了可以永远解决类似病毒的发作(是类似病毒,不单单指狗).微软的XP没开源,微软的压缩模式可是和winrar,7z完全不一样的.狗主人如果能做到破解XP压缩程序开源的话,我相信他也没有必要弄狗来盗号赚钱啦.

用此方法的优点:

1.大家都知道XP是一个开高放度的系统,提供很多接口.允许第三方软件接入,但是必竟第三方软件不是微软开发的,所以在其兼容性上一定或多或少会存在问题,不然也不会有那么多的beta出来啦.而且我提供的方法因为是XP自带的,具有高黏合度.目前服务器级配置普通使用了全盘文件压缩的方法.

2.易理解,不像某些第三方软件掖着藏着,弄个exe文件给大家.什么原理,对系统做了什么都不告诉大家.大家用着也提心吊胆的.一遇到系统问题总想着是不是这个东东引起的,非常不放心.

3.不是对系统做限制,不会出现什么游戏玩不了,程序运行不了的事.

4.天气比较冷,就这么多啦吧.备着再补充