找回密码
 加入
搜索
查看: 3631|回复: 10

[AU3基础] P版的 AU3防止文件删除及其逆向代码 还是有能穿透的。

  [复制链接]
发表于 2012-3-19 19:44:25 | 显示全部楼层 |阅读模式
最近中了userinit.exe病毒。
中病毒的现象是 : 不知道什么时候userinit.exe被修改的,被修改了的userinit.exe文件属性里面没有版本信息,其他属性和原本的一摸一样,修改以后穿透网吧还原系统保存下来了。
第二次开机以后userinit.exe就联网下载很多木马。
总之根源就是userinit.exe,想用某种办法保护这个文件不被修改,这几天用P版的文件保护进行测试,还是中毒了,可是有点不一样。userinit.exe文件版本属性也在,和原来的一摸一样,不像是被替换过,但是MD5效验确实又是不同的。
不知道这个USERINIT.EXE是怎样变了的,看看P版还有没有什么更强的办法
 楼主| 发表于 2012-3-22 11:50:59 | 显示全部楼层
求关注!!
发表于 2012-3-28 00:08:43 | 显示全部楼层
大哥,P版不是专门杀毒的.........
他写的是个例子   更新要靠自己嘛    不更新能永久使用的东西有什么呢?
发表于 2012-3-28 08:13:56 | 显示全部楼层
对付这样的病毒, 应该要找出毒源, 多数是特定网址.
单机用IP策略或直接在路由上把相关网址屏掉吧!
发表于 2012-3-28 18:14:01 | 显示全部楼层
你现在还会中这个病毒??
其实都差不多过去了事了!
 楼主| 发表于 2012-3-29 00:21:55 | 显示全部楼层
回复 4# user3000


    网址是会变的,根源其实是userinit.exe被穿透。所以能防止文件被替换才是最终解决方法
 楼主| 发表于 2012-3-29 00:23:23 | 显示全部楼层
回复 5# f4李文杨


    其实防御的办法也早就有了,就如楼上所说的屏蔽网址,还有一些其他的特定方法,不过看了P版的防止文件被修改的代码以后,想测试一下效果怎么样。
发表于 2012-3-29 08:21:52 | 显示全部楼层
AU3编写的程序的运行依赖于Windows系统, 它注定比病毒程序加载得晚(多数病毒程序在Windows刚启动时也随之运行了, 甚至有的比Windows还早一些运行, 比如引导区病毒: 鬼影等)
所以你觉得你现在做法有多大意义呢?
 楼主| 发表于 2012-3-29 16:33:37 | 显示全部楼层
回复 8# user3000


    我这样的做法是防止中,而不是中了杀!
   比如我明天会中userinit.exe病毒,但是我今天在启机的时候运行了userinit.exe保护程序,如果这个程序足够强健,我明天的userinit.exe还会被修改吗?你说这样做有没有意义?
发表于 2012-3-30 00:17:16 | 显示全部楼层
用无盘应该比较少这类问题吧。
 楼主| 发表于 2012-3-30 11:50:01 | 显示全部楼层
回复 10# kodin


    无盘根本就没有这个问题,说的是有盘的。
您需要登录后才可以回帖 登录 | 加入

本版积分规则

QQ|手机版|小黑屋|AUTOIT CN ( 鲁ICP备19019924号-1 )谷歌 百度

GMT+8, 2024-11-14 12:49 , Processed in 0.182888 second(s), 23 queries .

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表