零.引言
1.本教程是从0开始放猫,故会有较详细的地址提供和更多的步骤
2.放猫指运行彩虹猫病毒 彩虹猫病毒英文名为MEMZ 是一个引导病毒
3.请看完所有内容后在安全的环境下操作,因未读完或随意运行MEMZ造成的破坏作者不承担任何责任,如不同意,请停止阅读并关闭文章。重申:作者不承担因阅读本文造成的任何后果
一.环境
准备一台Windows电脑,实体机/虚拟机(推荐)/云电脑 均可,最好是XP/7运行
Win7之后系统也可运行,目前我已测学校机房的Win10,成功蓝屏,因学校机房有联想磁盘保护系统,未造成破坏
经某B站UP测试,可以在ReactOS上运行
现已在WinXP虚拟机上测试,可以更改MBR
二.准备
1.通用
下载彩虹猫(提取码MEMZ),如果需要源码可以用这个复制插件去复制
2.实体机
不建议关闭杀软
下载360急救箱 下载链接 直接链接 备份MBR,方法来自百度经验
点击MBR修复区按钮
进入MBR修复窗口,选磁盘(一般不用改),备份MBR
3.虚拟机
下载VMware Workstation Pro 下载链接 自动重定向链接
如果无法下载,即跳转到另一个页面提示502,用迅雷下载 下载链接
2.安装VM,自由调整安装目录,如果需要玩DOS之类的需勾选'增強型键盘驱动程序'
安装完成点'许可证',输入'JU090-6039P-08409-8J0QH-2YR7F'(可以重启)
4.下载ISO文件:win10 win11 win8 其它
5.创建新的虚拟机-典型-按操作创建-开启此虚拟机-按照正常步骤安装系统-安装Vmware Tools-拍摄快照(可选)
6.在VMware被博通收购之后,可以通过博通账号的产品支持下载免费的个人版,正常注册博通账号并下载即可 下载链接
三.运行
双击运行,若杀软拦截请允许,然后点击两次yes
其会打开一个标题为“note”的txt文本文档,里面是英文:YOUR COMPUTER HAS BEEN FUCKED BY THE MEMZ TROJAN. Your computer won't boot up again, so use it as long as you can! :D Trying to kill MEMZ will cause your system to be destroyed instantly, so don't try it :D
译文:你的电脑被MEMZ木马搞砸了。您的计算机不会再次启动,所以尽可能长时间地使用它! :D 试图杀死MEMZ会导致您的系统立即被销毁,所以不要尝试 :D
此时电脑已感染彩虹猫病毒
四.进一步破坏
传统引导
win+E打开资源管理器-查看-勾选查看隐藏的项目-选项-不隐藏受保护的操作系统文件
找到C:\BootMBR.sys,其后缀名永远隐藏
接下来提权
右键-属性-安全-高级-更改所有者(不用管全名)
输入自己的用户名或everyone,或在高级搜索找到用户
一路确定至退出,右键-属性-安全-编辑-添加用户名(同上一步)-确定-勾选完全控制-确定至退出(若警告请继续)
复制文件并粘贴,用记事本打开副本,全选删除,保存(原文件将无法保存,可另存为)
按住Shift+delete,永久删除原文件
可以把空白的复制回去(记得改文件名)
既然彩虹猫感染了MBR,我把MBR删了是不是就不会被感染了(doge)
EFI引导
通过磁盘操作工具、文件粉碎机或上述提权步骤删除ESP分区下的EFI文件夹
五.修复
1.进程
Win+R打开运行,输入cmd,输入
taskkill /t /f /im memz.exe
即可结束彩虹猫进程
不要使用任务管理器结束进程,会被嘲讽然后蓝屏
现已在学校机房测试,部分情况下会提示拒绝访问(管理员权限好像可以)
2.MBR
如果你执行了四,那么请使用PE恢复,旧系统老毛桃,新系统微PE
也可使用360系统急救箱从备份恢复MBR
3.虚拟机
简单,实体机的方法都能用,如有快照恢复快照即可