Board logo

标题: 裸机必备,病毒免疫包(2007年10月1号更新) [打印本页]
作者: angel144     时间: 2007-9-17 20:10    标题: 裸机必备,病毒免疫包(2007年10月1号更新)

此病毒免疫包是在三联病毒5。30免疫包基础上制作而成。
原理依然为通过0kb大小的文件夹去掉阻止病毒生成文件来预防已知病毒。
最后感谢三联,感谢所有热心的网友。让我们一起手携手,一起抵抗病毒同木马。
此病毒免疫包版本号为20070904
最新更新版本号为20071001。更新日期为2007年10月1号。基本上免疫了常见得各种恶性病毒同木马群。下一个版本会对未知病毒进行预防。
使用方法:直接双击运行即可。打过旧版本补丁也可以直接运行此免疫补丁
          程序直接可以跳过旧版本补丁打上新的免疫文件。
如有BUG,或者提供病毒样本,请联系QQ:38463179  E-MAIL:angel144@yeah.net  深蓝
谢谢。
补充:病毒免疫包里面说明不尽准确,是新增部分注册表内容。主要是为了防止特别恶性的病毒。

[ Last edited by angel144 on 2007-10-1 at 11:24 AM ]
附件 1: 深蓝病毒免疫包.rar (2007-10-1 11:24, 15.23 K,下载次数: 519)
作者: HAT     时间: 2007-9-18 07:29
明明修改了注册表
声明中还说没修改
作者: knoppix7     时间: 2007-9-18 18:16
既然已经改了。那就删除了

[ Last edited by knoppix7 on 2007-9-19 at 05:53 PM ]
作者: huayu278814214     时间: 2007-9-18 22:02
sdfs
作者: angel144     时间: 2007-9-18 23:07
回复2楼 3楼
里面的说明当初我是照抄三联的。我没认真看。
现在我重新做说明,确实是新增了一部分注册表。
主要是对特别恶性的病毒的注册表映像劫持预防。我想这里的大部分人都比我厉害,
应该也可以看明白。
此免疫包纯粹为批处理而已,具体对系统做了什么改动,大家都可以自行察看批处理的内容。我懂不懂注册表?其实说真的,不怎么懂,很多东西还没有深入了解。
当然,无论如何,免疫说明确实是说错了。在此,我想大家道歉。以后的版本会修改说明的。觉得不好用的,可以不用,关于这个也没必要多说了。
最后,感谢2楼,3楼两位朋友提醒。

[ Last edited by angel144 on 2007-9-18 at 11:11 PM ]
作者: HAT     时间: 2007-9-19 03:48
//主要是对特别恶性的病毒的注册表映像劫持预防

实在看不出这样可以预防什么东西
这样做的本意是让病毒无法运行吧
但是病毒可以考虑先把这些键值删掉的呵呵
作者: yovie     时间: 2007-9-19 13:15
那么长,没有功劳也有苦劳。辛苦了。继续努力吧。
作者: angel144     时间: 2007-9-19 18:16


  Quote:
Originally posted by HAT at 2007-9-19 03:48 AM:
//主要是对特别恶性的病毒的注册表映像劫持预防

实在看不出这样可以预防什么东西
这样做的本意是让病毒无法运行吧
但是病毒可以考虑先把这些键值删掉的呵呵

目前来说,病毒还没有考虑到。
而且现在常见的木马已经免疫掉了,无法生成。当然,病毒同木马也可以
考虑把免疫文件夹权限设置为完全控制,然后再生成。但是目前来说,还
没有病毒同木马这样做,准确点讲是大部分病毒同木马没有这样做。而且
根据实际效果来说,这个东西还是可以的。打了之后,基本上中毒的几率
很少了。
原理很简单,但是收集齐全就困难。以后每个月更新一次。呵呵 ,高手见笑了
作者: knoppix7     时间: 2007-9-19 18:30
//主要是对特别恶性的病毒的注册表映像劫持预防
如果能用命令行工具修改注册表项的权限。
应该可以预防映像劫持
作者: kaidashi01     时间: 2007-9-19 18:58
有没了卸载的程序。我安装了,但是删除不了。
作者: angel144     时间: 2007-9-19 21:06


  Quote:
Originally posted by kaidashi01 at 2007-9-19 06:58 PM:
有没了卸载的程序。我安装了,但是删除不了。

卸载程序很简单.把权限重新设置,然后删除空文件夹就可以了.
抱歉的是,目前我的工作比较忙.实在没有多余的时间来弄个卸载
程序.等过段时间有空了 我会连卸载程序一并发出来.谢谢
作者: angel144     时间: 2007-9-19 21:11


  Quote:
Originally posted by knoppix7 at 2007-9-19 06:30 PM:
//主要是对特别恶性的病毒的注册表映像劫持预防
如果能用命令行工具修改注册表项的权限。
应该可以预防映像劫持

用setacl工具配合可以做到.目前我在考虑用setacl工具
锁住注册表的某些重要键值来预防未知病毒.主要是考虑
到大家使用上是否方便.或者可以写两个批处理.需要用的时候
就解锁.平时就锁死.后续版本会作这方面的尝试改进.
作者: luowei14     时间: 2007-9-19 22:22
楼主辛苦了。。。加分,,,
作者: HAT     时间: 2007-9-20 05:36
//用setacl工具配合可以做到.目前我在考虑用setacl工具锁住注册表的某些重要键值来预防未知病毒.

在你的程序里修改玩注册表以后,再用setacl命令设置一下这个键值的权限,应该可以预防一些未知病毒。因为有些病毒就是在这里添加键值达到禁用杀软的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
作者: angel144     时间: 2007-9-20 12:18
14楼大哥的建议不错。我没有考虑到防止禁用杀软这点。因为我本身是在网吧行业做的,很少用杀软。我想应该考虑到应用的普遍性,设置这个为只读的。
另外,我最想设置权限的是 run runonce 以及HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

这些键值,以及system.ini   win.ini 文件来防止未知病毒的自启动。
只是这样会否造成大家安装正常软件时的出错?
一切的兼容性同可行性还在测试之中。
作者: npgmis     时间: 2007-9-21 16:11
厉害
作者: PPdos     时间: 2007-9-21 20:59    标题: 建议

如果可以将P文中的可疑文件名列成表单,然后利用注册表搜索和文件搜索命令依据

表单来搜索本机的文件和注册表,并将搜索到的可疑文件名显示或生成报告。这样既

可以避免对注册表的修改 又可以减少垃圾文件的生成
作者: angel144     时间: 2007-9-21 22:13
楼上的兄台,不是很明白你的意思。
我这个免疫包主要是防止中毒的,而不是中毒事后方便杀毒的。
至于添加注册表防御会否使到注册表臃肿而影响机器性能,我想应该不会
因为注册表项很少,除非像熊猫那种恶性全盘感染型的。而空文夹,我想
应该也不会系统性能有影响吧。
作者: koala     时间: 2007-9-25 20:58
楼主应该考虑用 for语句啊
像 temp、system32、等批处理标签完全需要的

我举个例子吧,批处理标签ProgramFiles段

cd /d %ProgramFiles%
set id=0

:loop
for %%i in ( %systemroot%\system32 ) do (
   md pro%id%.exe&&echo y|cacls %%i\pro%id%.exe /d everyone&&attrib +s +h +r %%i\pro%id%.exe
   set /a id=+1
   if %id%=19  goto eof
   goto loop
)
代码没有测试,不过我认为写批处理不需要向%systemroot%\system32 写那么多垃圾文件(夹)

[ Last edited by koala on 2007-10-1 at 08:57 PM ]
作者: angel144     时间: 2007-10-1 03:12
自己顶一下。。。。。。
作者: koala     时间: 2007-10-1 20:58
定一下,下载个
作者: koala     时间: 2007-10-1 21:00
压缩包有问题
作者: nsnicy     时间: 2007-10-5 21:10
lz辛苦了
作者: koala     时间: 2007-10-13 21:08
兄弟的帖子沉下去了哦!更新哦
作者: hdzc     时间: 2007-10-18 22:30
压缩包损坏有问题
作者: zhclsy     时间: 2007-10-19 09:33
下了,打不开,文件坏了
作者: qq4569712     时间: 2007-10-29 01:57
收藏了,经典之作!
作者: laixiaozi     时间: 2007-10-29 03:03
对付镜像挟持好象这招就够了,权限设置好没必要删除啊
echo Windows Registry Editor Version 5.00>a.reg

echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]>>a.reg
regedit /s a.reg
@del a.reg
作者: rinfall     时间: 2007-10-29 09:18
晕死,我下下来的怎么 不行啊???下了两 次都是不能解压。末端错误~~~~~
作者: zhjyes1     时间: 2007-10-29 13:49
上当
作者: txratu     时间: 2007-10-30 18:29
为什么我下载了打不开,说文件被破坏。。。
我下载的文件大小只有8.00 KB (8,192 字节)。。。

  Quote:
!   d:\Documents and Settings\ibm\桌面\深蓝病毒免疫包.rar: 20071001.bat CRC 失败。文件被破坏
!   d:\Documents and Settings\ibm\桌面\深蓝病毒免疫包.rar: 不可预料的压缩文件末端

[ Last edited by txratu on 2007-10-30 at 06:33 PM ]
作者: xiaohhwy     时间: 2007-10-31 13:33
!   C:\Documents and Settings\ncdx\桌面\深蓝病毒免疫包.rar: 20071001.bat CRC 失败。文件被破坏
!   C:\Documents and Settings\ncdx\桌面\深蓝病毒免疫包.rar: 不可预料的压缩文件末端
作者: liangzz     时间: 2007-10-31 15:24
这类方法太过被动,不是很实用啊
作者: INeverAsk     时间: 2007-12-26 14:15
望楼上查看一下,压缩包出错了.
作者: xiaoyun222     时间: 2007-12-26 19:33
hehe~~~~~~~``dabukaiya
作者: wenjian1234     时间: 2008-2-18 17:43
不能用
作者: qq544877006     时间: 2008-2-18 17:54
2007年10月1号更新)
额的神啊  都20080217了啊
作者: auqfgmd     时间: 2008-2-18 20:10
好东西看看