原贴地址:http://bbs.wglm.net/read.php?tid=71192
今日机器狗猖獗,我也深受其害。痛定思痛,不明白为什么自己就这么不明不白的成了牺牲品了呢?
责任在谁???????
1。国内广大的游戏厂商
按照微软的设计,我们的应用程序应该能很好的在USER权限下运行的。可是这些厂商从不依照框架来做。为防止外挂各种手段都用上了,监视系统,安装驱动等超级权限才能做的东西。导致系统不得不在非常危险的超级权限下运行。都超级权限了,还有什么不能干的呢?病毒也这么想!
2。国内的法律漏洞
熊猫烧香的作者判了几年,如果我能得到200W的利润,4年的牢我也愿意做的。犯罪成本太低了。其他的人怎么处理的,有没有深挖不得而知了。
3。我们自己
我们这么做网管的,本身技术就不是很好,有点技术的还藏着掖着的。不能和大家共享,交流技巧。
我是个菜鸟,但做出来的东西原代码都是开放的。没有人给我意见和建议,我一般只出代码不出程序的。似乎也不和大家的胃口。我觉得代码的交流才能进步了,难道我做错了吗?当弄电脑成为我们唯一的生存手段时,有什么理由不去好好学习它呢?拿来主义在计算机上不好用。
4。病毒的作者
我不想骂你们,利益是你们的唯一目的。技术也是一把双刃剑。
我不知道是哪个公司的达人们的杰作。出于什么目的?推销新的还原软件还是防病毒程序。或是简单的盗号呢?
5。一些软件公司(我个人主观)
比我们这些菜根网管的技术高上N倍,趁人之危不可耻吗?如果真的想帮助我们,请开放代码。
6。我们的网络警察在做什么呢?
趋势:
个人认为机器狗的出现从本质上来说等于一个没有安装还原的系统。我甚至认为病毒的作者早就具有所有必要的知识来摧毁所有的免疫。他只是在推延时间而已,让我们尝一点点甜头,然后再无情的摧
毁它们。来延长病毒的生存周期。大家应该想一想怎么才能彻底的搞定它。
a.可以传染所有的文件。(exe,bat,com.scr)
b.可以使用不同名称的驱动文件和名称,可以放在不同的目录中。
c.userinit.exe,explorer.exe,svchost.exe,lsass.exe。。。。。。等文件都难以幸免,只是看作者的喜欢了。
网管兄弟们醒醒吧,只有我们大家一起努力的学习知识并能共享它们才能防患于未然。
GNU是个不错的东西,可惜太高深了,我们网管们是否也需要一个GNU计划呢?
最后我说说目前的方法吧。(未测试,大家来验证)
1。建立一个新的用户xxxxx,加入administrators组。
2。用xxxxx登陆系统,取得userinit.exe等系统启动文件的所有权。不是administrats组取得权限。
3。修改为只允许所有人读取。
4。gpedit.msc,安全 权限指派 取得所有权中删除所有用户。
5。删除xxxx用户。
6。gpedit.msc大家自己处理吧,病毒如果能调用它的话或通过其他接口修改这个选项的话。。。。。。
使用不转使用的bootexecute的方法也不错,可惜我水平有限,弄不懂什么原生函数的。再说也不是很彻底。病毒能找到方法来防御的。只是比较困难而已。
还有一个更狠的招数,修改系统文件吧,是哪个自己找,病毒的作者也能修改这个文件。他现在还不想而已。如有需要请联系qq:103969219
arp2007可能也会来凑热闹的,网管没法当了。
双绑能解决大部分问题。除了ip冲突外。
解决的方法有3个
1。使用ArpRetryCount=0的注册表来防止,具体google一下就好了。缺点是会有ip冲突提示的。不影响正常上网。
2。使用arp防火墙单机版,效果很好,好像要钱(金钱真是万恶之源啊。)。能弄到源代码就好了。:)缺点是对MAC克隆攻击 似乎。。。。。。
