与机器狗的对抗
发的这张帖子 希望对大家在以后机器狗病毒的防御有些帮助 我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!:l-C(t'C#`:w"[;o"N
记得从2007年11月 的时候 我们网吧第一次出现 IGM.exe和VML.exe的时候+C3?,a8X,p3k
我就开始在对机器狗的对抗战 只到今天还是不能完全的打败
+Y&P8j;l;obbs.54master.com 只到昨天晚上在54上看到 现在的变种已经穿透网维6.1.1.1版本:I9{1Q$I8a4@
真是 感觉毛骨悚然 不知道在这场争夺战中 我们网管们会不会胜利
4K8_4A+J:h g- 畅通网络 因为有我 还是进入正题把 。。。。。。。。。。。。。
#b4\4M%b#Q)y$C7t9@+x3o 下面是我的解决方法 希望对大家有帮助网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术4Q&u2A1w.k1D9Z0i&`
系统:SP2 还原:DF6.2(绿茶网站上下的单机版的)网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术6w3a$O3R B6u$C4^
先安装机器狗防穿透的补丁 (54上下的)
7O$l-_*~*m'v,m [attach]91435[/attach] bbs.54master.com0Q+O${4K0T"z0W
此补丁主要保护userinit.exe等主要文件 的属性不发生改变
,D1U7j)u;X(d,I5`bbs.54master.com 下面是几个病毒的防护
,W,S:M4C/k;t/H&o- 畅通网络 因为有我 copy nul c:\windows\igw.exe (复制一个新文件)我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!*c8E6b0J1i6g5?%h(C
attrib c:\windows\igw.exe +s +h +r (给文件加权限让他无法运行)- 畅通网络 因为有我&U+|9T$l8v!C%M*Y
想IGM.exe 。SWCHOST.exe。SERDST.exe 等等你都可以加上去 目的是为了做一个假的病毒不让真的病毒进入
1M5~/k%F*Zbbs.54master.com 下面是最重要的 现在的变种穿透以后写入在C:\Documents and Settings\All Users\「开始」菜单\程序\启动我是网管论坛(Z;Z,a.b6s;@%J*B
文件夹里 我把他的权限都给禁用了 这样就是病毒也无法写入
F G-z#O.K3T5H- 畅通网络 因为有我 还有在预防ARP病毒上也要做好防范 你可以写上个BAT
3C!?9l4a:\9u&V'H0tbbs.54master.com arp -s 网关IP 网关MAC 我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!+?$],l4z/s;a&P5d8p
放在启动项里 每次开机都与网关绑定一次
/Q1c*s-\.i*X4B 我的陆游可不是大网吧的那种 我用的是拨号的那中不支持IP和网卡绑定我是网管论坛,z:q-J5n2W7r!N
所以只好单防 有条件的话就可以用陆游把IP和网卡绑死网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术0[5\"h/Q4y4l.q0t6P%@
下面这个就是放在我的预留通道里的
:D1u;c7V*M4p4^网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术 这样就在没有条件绑定的情况下也可以实行IP和MAC的双绑定0C.Z N/y0d$h
if exist ipconfig.txt del ipconfig.txt7]1O3e0G;K%E
ipconfig /all >ipconfig.txt
(B9r0M8B-q*R0L- 畅通网络 因为有我 if exist phyaddr.txt del phyaddr.txt我是网管论坛3w \8S;S!Z2e(r/r
find "Physical Address" ipconfig.txt >phyaddr.txt我是网管论坛)A$f)k3s4R0_0C9n!h.g
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M我是网管论坛.P#g6T2s#z7f9E7k4g*G;W
if exist IPAddr.txt del IPaddr.txt!U5G+b4W3X |
find "IP Address" ipconfig.txt >IPAddr.txt我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!7W+q)F0\8w-]0F0m
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I4e7r6V8L.T
arp -s %IP% %Mac%- 畅通网络 因为有我%f/K8D9H }#U)_
el ipaddr.txt网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术&u,I:I6@'F!d4w
del ipconfig.txt
/W }0p9X-p/u#J'Zbbs.54master.com del phyaddr.txt网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术6A$p*`:L:l.\:J+W2d
arp -s 网关IP 网关MAC
,~,N.i#]*[!K:L我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛! 在你的服务器上可以装上360和什么ARP防火墙的东东 我用的是360 把ARP的保护是开着的我是网管论坛7Z.K's;l:q4F:E:a!Y.x
主要是不让ARP把我的服务器取代 让下面的客户机正常执行我的代码- 畅通网络 因为有我)B,^*R)\-\.Z
以上的都是对机器狗和ARP做的一些防御 经过测试易速还原和迅闪还原都以被穿透写入
,I+h){)g3J7f7w.F网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术 以上写的都已经测试过 现在都半个月了 还没有发现被穿透过我是网管论坛#q1l3J1O)f,n
写的不好 希望大家能谅解 同时也希望可以与大家共同交流 共同进步
6x#]!a-F1j'b$P1B$Mbbs.54master.com 本人QQ:286218664
 附件: 您所在的用户组无法下载或查看附件
|
