张良计
一些批处理病毒一旦运行起来就会篡改扩展名关联,几乎所有的常用二进制加载扩展名都被控制.杀软和工具无法运行也就没办法将之解决.病毒正是通过一套较为完备的”逻辑锁”将用户的电脑控制在自己手中
作为一名公共计算机维护人员,我多次与这种病毒遭遇,之前我遇到它们会尝试着一个或者现场制作一个PE引导U盘,然后运行一些PE下的杀毒软件,但效果通常不佳.特别是当一个远程用户发来求助的时候,我通常会让对方确认C盘下是否有非常重要的资料特别是桌面.如你所知,桌面(Desktop)在很多普通用户眼中并不认为重载系统会丢失它.待用户确认他们没有重要文件在C盘和桌面下然后还原或者系统.
你要知道重载或者还原系统其实是一种极端的处理方式,它通常用来针对一些非常强大的病毒.为什么在这里我们必须使用它呢?究其原因在于批处理病毒完善的”逻辑锁”,请谅解我用”逻辑锁”来称呼这种机制,这个词在Dos时代被用来描述一种对Dos读磁盘机制BUG的利用.关于批处理病毒的逻辑锁你可以参考这里浅谈Win32程序逻辑锁.
它们拦截了所有我当时所知的能够“反败为胜”的扩展名,以至于我不能以当时所知的方法运行任何工具,最终只能为该机器重装系统。它劫持了扩展名,这种劫持虽然简单但是行之有效,它将能复原扩展名的方式在逻辑上进行了封堵。这就是一种“逻辑锁”,即使你有强兵利器,你不能将其运转,对于病毒而言同样是废铜烂铁。
过墙梯
在不断的发展中批处理病毒逐渐封堵了exe,com,src等几乎所有潜在威胁后缀名.在这里我们通过vbs内嵌工具搞定它,通过将工具的二进制代码内嵌到vbs中,绕过扩展名加载机制的阻拦.
你需要将你自制的vbs文件放在一个干净U盘中然后在新的计算机运行它,它能帮助你把内嵌的安全工具运行起来.当然你需要先关闭你计算机上那些已经无法正常工作的杀软,它们可能把我们内嵌文件当成病毒干掉.
这个灵感来源于一个名叫:fuck girlMagazines +18 (3).vbs的脚本病毒,它在大学的机房被发现.这是该病毒样本
9827
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
