专杀工具源码 V1.5

最新推荐文章于 2023-05-04 21:04:21 发布
最新推荐文章于 2023-05-04 21:04:21 发布
阅读量520 收藏 1
点赞数
分类专栏: Python 文章标签: 源码 内核驱动 外挂 专杀 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013205877/article/details/66108774
版权

杀传奇私服外挂rootkit的脚本,原理很简单就是操纵注册表的,针对释放驱动到sysroot下而且其没注册的Cmpcallback或者没针对键值修改做保护,上代码,啰嗦版本有注释一看就明白

扯蛋啰嗦版本

# -*- coding:utf-8 -*-
import glob
import os
import ctypes
from _winreg import *

#获取当前程序所在路径
currentpath1 = os.getcwd()
currentpath2 = '现在程序所在的路径为 :'+ currentpath1
print currentpath2.decode("utf-8")

#遍历所有可疑文件

f = glob.glob('C:\Windows' + '\\*.sys')
print ('检测到 C:\Windows 目录下的可疑文件如下').decode("utf-8")

#判断有多少个驱动文件并删除没有加载的驱动

for i, file in enumerate(f) :
    #枚举路径
    filename = os.path.basename(file)
    sysrootpath2 = 'C:\\Windows\\' + filename
    #print i, filename
    #尝试删除驱动文件
    try:
        os.remove(sysrootpath2)
        print ('删除文件').decode("utf-8") + filename + ('成功').decode("utf-8")
    except:
        print ('有可疑驱动正在运行无法直接删除').decode("utf-8")

#if i==0:
#    print ('只有一个可疑文件').decode("utf-8")
#else:
#    print ('存在多个可疑驱动文件并已经删除外挂驱动外的其他可疑驱动文件').decode("utf-8")

#确认外挂驱动名
#virusf = glob.glob('C:\Windows' + '\\*.sys')
#for filewg in virusf :  
#    wdfilename = os.path.basename(filewg)  
#realwgfilename = wdfilename[0:-4]
#print ('重新定位外挂驱动文件:').decode("utf-8")
#print (wdfilename)


virusf = glob.glob('C:\Windows' + '\\*.sys')
sysfilenamelist = []
for filewg in virusf :
    print filewg
    readywdfilename = os.path.basename(filewg)
    sysfilenamelist.append(readywdfilename)

print sysfilenamelist
try:
    sysfilenamelist.remove('pagefile.sys')
    print 'del pagefile.sys successed'
except:
    print 'del pagefile.sys failed'

print sysfilenamelist
wdfilename = sysfilenamelist[0]
realwgfilename = wdfilename[0:-4]

#修改外挂驱动注册表键值
Start = 'Start'
try:
    regpath1 = 'SYSTEM\\ControlSet001\\services' + '\\' + realwgfilename
    reg1 = OpenKey(HKEY_LOCAL_MACHINE, regpath1, 0, KEY_WRITE)
    SetValueEx (reg1, Start, 0, REG_DWORD, 4)
    CloseKey(reg1)
    print ('处理ControlSet001成功').decode("utf-8")
except:
    print ('处理ControlSet001出错').decode("utf-8")

try:
    regpath2 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilename
    reg2 = OpenKey(HKEY_LOCAL_MACHINE, regpath2, 0, KEY_WRITE)
    SetValueEx (reg2, Start, 0, REG_DWORD, 4)
    CloseKey(reg2)
    print ('处理ControlSet002成功').decode("utf-8")
except:
    print ('处理ControlSet002出错').decode("utf-8")

try:       
    regpath3 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilename
    reg3 = OpenKey(HKEY_LOCAL_MACHINE, regpath3, 0, KEY_WRITE)
    SetValueEx (reg3, Start, 0, REG_DWORD, 4)
    CloseKey(reg3)
    print ('处理ControlSet003成功').decode("utf-8")
except:
    print ('处理ControlSet003出错或者项目不存在').decode("utf-8")

try:      
    regpath4 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilename
    reg4 = OpenKey(HKEY_LOCAL_MACHINE, regpath4, 0, KEY_WRITE)
    SetValueEx (reg4, Start, 0, REG_DWORD, 4)
    CloseKey(reg4)
    print ('处理ControlSet004成功').decode("utf-8")
except:
    print ('处理ControlSet002出错或者项目不存在').decode("utf-8")

#delete key
#regpath2 = 'SYSTEM\\CurrentControlSet\\services'
#reg2 = OpenKey(HKEY_LOCAL_MACHINE, regpath2, res=0, sam=KEY_WRITE)
#DeleteKey(reg2, filename2)
#chinesedisplay2 = '已经禁止病毒自启动,现在请直接拔掉电源线使电脑直接断电,等5秒后插上重启'
#print chinesedisplay2.decode("utf-8")
#print isinstance(filename2, basestring)

print ('''

操作尚未完成,不要点关机或者重启!
先关掉并退出所有程序,然后直接拔掉电源线使电脑直接断电!
等5秒后插上重启''').decode("utf-8")

ctypes.windll.user32.MessageBoxW(0, u'关掉并退出所有程序,直接拔掉电源线使电脑直接断电', u'操作提示',0)

短小精悍版本

# -*- coding:utf-8 -*-
import glob
import os
import ctypes
from _winreg import *

currentpath1 = os.getcwd()


currentpath2 = '现在程序所在的路径为 :'+ currentpath1
print currentpath2.decode("utf-8")

f = glob.glob('C:\Windows' + '\\*.sys')
print ('检测到 C:\Windows 目录下的可疑文件如下').decode("utf-8")

for i, file in enumerate(f) :
    filename = os.path.basename(file)
    sysrootpath2 = 'C:\\Windows\\' + filename
    try:
        os.remove(sysrootpath2)
        print ('删除文件').decode("utf-8") + filename + ('成功').decode("utf-8")
    except:
        print ('有可疑驱动正在运行无法直接删除').decode("utf-8")

virusf = glob.glob('C:\Windows' + '\\*.sys')
sysfilenamelist = []
for filewg in virusf :
    print filewg
    readywdfilename = os.path.basename(filewg)
    sysfilenamelist.append(readywdfilename)

print sysfilenamelist
try:
    sysfilenamelist.remove('pagefile.sys')
    print 'del pagefile.sys successed'
except:
    print 'del pagefile.sys failed'

print sysfilenamelist
wdfilename = sysfilenamelist[0]
realwgfilename = wdfilename[0:-4]

Start = 'Start'
try:
    regpath1 = 'SYSTEM\\ControlSet001\\services' + '\\' + realwgfilename
    reg1 = OpenKey(HKEY_LOCAL_MACHINE, regpath1, 0, KEY_WRITE)
    SetValueEx (reg1, Start, 0, REG_DWORD, 4)
    CloseKey(reg1)
    print ('处理ControlSet001成功').decode("utf-8")
except:
    print ('处理ControlSet001出错').decode("utf-8")

try:
    regpath2 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilename
    reg2 = OpenKey(HKEY_LOCAL_MACHINE, regpath2, 0, KEY_WRITE)
    SetValueEx (reg2, Start, 0, REG_DWORD, 4)
    CloseKey(reg2)
    print ('处理ControlSet002成功').decode("utf-8")
except:
    print ('处理ControlSet002出错').decode("utf-8")

try:       
    regpath3 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilename
    reg3 = OpenKey(HKEY_LOCAL_MACHINE, regpath3, 0, KEY_WRITE)
    SetValueEx (reg3, Start, 0, REG_DWORD, 4)
    CloseKey(reg3)
    print ('处理ControlSet003成功').decode("utf-8")
except:
    print ('处理ControlSet003出错或者项目不存在').decode("utf-8")

try:      
    regpath4 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilename
    reg4 = OpenKey(HKEY_LOCAL_MACHINE, regpath4, 0, KEY_WRITE)
    SetValueEx (reg4, Start, 0, REG_DWORD, 4)
    CloseKey(reg4)
    print ('处理ControlSet004成功').decode("utf-8")
except:
    print ('处理ControlSet002出错或者项目不存在').decode("utf-8")


print ('''

操作尚未完成,不要点关机或者重启!
先关掉并退出所有程序,然后直接拔掉电源线使电脑直接断电!
等5秒后插上重启''').decode("utf-8")

ctypes.windll.user32.MessageBoxW(0, u'关掉并退出所有程序,直接拔掉电源线使电脑直接断电', u'操作提示',0)
Peace & Love
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网吧传奇杀手病毒
他的专栏
12-19 2709
网吧传奇杀手病毒预防方案(网吧集体掉线问题之解决方案之一)网吧传奇杀手病毒预防方案  “网吧传奇杀手”木马病毒的出现,网吧行业无疑又经历了一次严重的打击和技术挑战。最近几个月来,很多网吧开始出现同一类似的网络故障,网吧正常营业时突然掉线,经过短暂的网络中断后网络自动恢复正常。此后,便有传奇、传奇世界的玩家开始大嚷,自己的帐号和密码被盗了。    以上症状,便是“网吧传奇杀手”木马病毒发作的典型特征
网站后门查杀工具推荐
Duxingcan的博客
06-04 2024
作为一个小站长,对于网站的后门代码肯定是深恶痛绝的,尤其是在建站初期,因为一些原因而使用非正版主题,很容易出现这个问题,而往往一些不良的代码贩子,总喜欢给自己贩卖的主题等源代码贴上完美破解、无后门等标签来吸引小博主购买,实际上里面不知道加了多少料,最常见的代码如下: add_action('wp_head', 'creatbackdoor'); function creatbackdoor() { If ($_GET['backdoor'] == 'go') {
三款好用的软件代码检测工具
热门推荐
alwayssun的博客
05-04 1万+
库博能更好的支持接口开发,提供的接口如:新建项目、执行检测项目、获取项目检测结果、导出检测结果报告等数十种接口,方便与用户内部软件环境的集成。 北大库博工具团队近十年来,与国内众多重要研究机构、央国企、事业单位等,联合申报、攻关国家重要部委科研课题,取得了丰硕的科研成果。同时,支持多个行业重要软件测试工作,就行业领域合作展开科研攻关,共同发表顶会文章百余篇,成功申报国家国际奖项数十项,培养领域专业人才博士硕士数百人等。
驱动劫持清理修复工具
05-21
从后台清除驱动劫持1.32位电脑系统请运行PCHunter32.exe 64位电脑系统请运行PCHunter64.exe 2.点击-驱动模块 如图1 3.点击-文件厂商 如图2 4.拉到最底下显示的驱动 文件厂商栏为空的 一般显示为蓝色 5.右键点击 删除驱动文件 然后再次右键点击 卸载驱动 6.会提示蓝屏 点确定重启电脑即可
一分钟学会手工查杀流氓驱动
陈敏的博客
02-05 2344
        最近的关注焦点是回家的车票和来年的租房. 哎,北漂的人呐,就是郁闷, 每每被生活琐事给纠缠.做个广告先,我们的苏青同学终于三度开博了, 敬请访问: http://rebeccasu.blog.sohu.com话说我们这有台机器不幸又中招了, 用了safe360, 瑞星卡卡强力杀之, 重启n遍后都不见效, 可谓春风吹又生啊. 最后终于配合强大的人肉搜索机手工搞定了隐匿的流
专杀工具Sality专杀.zip
05-28
标题中的“专杀工具Sality专杀.zip”指的是一个专门针对Sality病毒的清除工具。Sality是一种恶性计算机病毒,它具有自我复制和感染其他程序的能力,严重威胁用户的系统安全。这个压缩包文件包含了用于检测和消除...
仿制金山毒霸专杀工具界面实现源码
07-29
仿制金山毒霸专杀工具界面实现源码 网上有仿制金山毒霸专杀工具界面的实现方法,详见http://www.vckbase.com/module/articleContent.php?id=306 但却没有完整的实现源码,这次我认真了,花了几天时间把它详细的实现...
文件夹类病毒专杀工具V1.5
04-26
【文件夹类病毒专杀工具V1.5】是一款针对特定类型计算机病毒设计的专业清除软件,主要用于恢复因病毒感染而被隐藏或损坏的文件夹。这类病毒通常会篡改系统设置,使得用户无法正常访问或显示受感染的文件夹,从而对...
专杀工具Virut专杀.zip
05-28
【标题】: "Virut病毒专杀工具" 【描述】: "Virut是一种极具危害性的计算机病毒,它以其复杂的加密技术和频繁变异闻名。这个压缩包包含的'Virutרɱ'文件很可能是针对该病毒的专业查杀工具,旨在帮助用户检测和消除...
微点文件夹病毒专杀工具v1.5
02-25
【微点文件夹病毒专杀工具v1.5】是一款针对特定类型病毒——文件夹病毒和蠕虫病毒的专业杀毒软件。它旨在提供便捷而有效的解决方案,帮助用户清除这些恶意程序,保护计算机系统免受感染。文件夹病毒通常会隐藏在用户...
通用杀毒软件VC++源代码
10-15
一款可以自已定制病毒特征库的杀毒软件,可以用此软件变种为任意的病毒专杀工具。界面及病毒特征库均可自行定制编辑,支持最大100个线程扫描文件,杀毒方式可自行设定,支持对每一种病毒特征码设置一种杀毒方式。采用文件二进制比对的方式查杀电脑上的文件,可以对电脑文件中含有病毒特征码的文件执行删除文件、清除文件病毒码字节、用空格替换文件病毒码字节、用0x00替换文件病毒码字节,用指定字符替换文件病毒码字节等等杀毒方式。病毒特征码可以资源共享。 目前版本的实质为:多线程文件内容比对查找及修改替换工具。程序未加入主动防御、恶意行为拦截等功能,程序特别适合作为病毒专杀工具,可以对程序作小的改动即可实现变种。 本程序规模不大,易读懂,程序全为业余书写,几乎没有经过什么测试,可能存在许多错误。软件在www.csdn.net首页的“创新无极限,软件你来选”中申报成功(开源类),请下载了源码的用户在2010年1月1日到2010年1月21日期间投此软件一票,以示对作者开源的支持。 作者开源的另一作品“文本语音朗读组件”全套VC++源码,也欢迎用户下载并投作者一票。你可以对上面两款软件源码重新改进形成功能各异的属于你的作品。 作者已没有时间对上述程序进行深度开发和升级,只是希望
病毒专杀工具自己编写
12-21
简单的病毒专杀工具的源代码和简单说明。介绍几种简单的病毒,都是很久之前的了。不过,学习这种思路而已。不要什么都照抄,这会让人堕落的。
文件夹病毒专杀工具源代码
01-25
我自己编写的文件夹病毒专杀工具,那个文件夹病毒没有什么大的危害,只是会把文件属性改为系统隐藏,不知道的人以为东西丢失了,我也曾被病毒整过所以才想写这么个东西,当然我不是专业人士,一切从头开始,这个算是我的处女作,关于API入门的源代码,windows7,visual studio 2010下测试通过,希望对大家有所帮助
Win32.Virux.ce病毒专杀工具
09-18
Win32.Virux.ce病毒可感染exe文件,并且可以自我复制。系统被Win32.Virux.ce病毒感染后,.Net平台下的程序无法打开,VS(C#)无法使用。该专杀工具专门清理此类病毒,最好在安全模式下扫描全盘进行查杀。
D盾_网站源码后门V2.1.9查杀工具.zip
12-03
网友寻找的D盾,网站源码后门查杀工具,可用来检测网站后门,快速查杀,下载下来解压后就知道怎么使用了!!!
php网站源码木马查杀检测工具
博客模板下载
02-24 1363
简介: 今天发现我授权的网站 突然多出来几个不认识的PHP文件 ,打开一看,哇塞  什么时间被挂马了 就开发了这么个工具  网站文件特别多的话,手工查找到什么时候 用工具检索肯定会更快点 这个软件的优点:可以自己添加特征库 ,寻找php木马中的某个特征 添加到编辑框就可以了,一行一个 缺点:如果不是windows系统的话,需要把网站打包下载下来查杀,完成后 再上传 开发仓促,肯定还有不少问题,欢迎朋友们提出bug,后续更新 网盘下载地址: http://www.bytepan.com/
【安全研究】免杀对抗之源码免杀
weixin_46591320的博客
05-16 2581
0x01 免杀分类 渗透测试中常需要免杀马,这块的内容交叉且形式多样。常见的免杀方式,源码混淆、DLL文件替换、文件修改、加壳、花指令免杀、签名等。免杀的内容比较偏向破解、反编译范畴的安全研究,也是武器库中的必不可少的部分。本文章是系列教程,各种免杀方式都会涉及,本次分享的是源码免杀。 0x02 源码免杀 这里以Python做免杀为例,其他语言如C#、GO、Ruby等免杀思路相同。 免杀的大致步骤可以分为如下,视情况可以采用部分步骤: 加载器选择-ctypes-DLL&其他,加载shellcode
LPK病毒专杀工具C源代码
c_cold1988的博客
05-25 1513
最近分析了一个lpk的病毒,链接  http://bbs.pediy.com/thread-217841.htm 但感觉还不过瘾,于是手痒写了这个C语言版本的专杀工具。 行为不多说了,杀毒思路1.结束服务:Ghijkl Nopqrstu Wxy,删除服务对应的exe文件。 2.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ Gh
synaptics专杀工具
最新发布
11-01
Synaptics专杀工具是一种用于检测和清除计算机中的Synaptics Touchpad驱动程序的恶意软件工具。Synaptics Touchpad是许多笔记本电脑和触控设备的常见驱动程序,它允许用户通过手指在设备表面上滑动来进行各种操作,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值