维普资讯 http://www.cqvip.com 么做出来的呢? 其实只要利用 软件名称:InCtrl5 InCtrl5,我们也可以轻松 软件版本:1-0_0,0 授权方式:免费软件 制作流行病毒警杀工具。 国画画 软件大小:841KB 这样当你的同事或朋友中 工具谱 下载地址:http://work newhua com/pcd 了病毒无法查杀时,你就可以把自己制作的专杀给他们使用。 lnCtrl5可以监视软件的安装会对系统造成什么影响,包括监测注册 表、INI文件、指定文件、指定文件夹、驱动器等等。并保存记录下来。 明察秋毫追踪木马 制作专杀,我们首先要获取木马 样本,从网上找到一个“QQ木马专用 免杀A版”,按提示生成盗号客户端 Pzqqhacker 58.exe备用(本例中放在K 盘根目录下)。这是一个号称可以免杀 的盗号木马,这里我们借助InCtrl5监测 它的安装。 为了减少程序的追踪量,安装木 马样本时尽蠡关闭其他不必要的 程序。 启动InCtrl5,单击“安装程序”后 的浏览按钮,选择制作好的木马“k:\ Pzqqhacker 58.exe”,然后设置好报告 文件名称和保存位置(图1)。 在“跟踪什么”一栏下,依次设置 需要跟踪的项目。木马的藏身之地一般 就是系统盘,我们只要选择跟踪C、K盘即可(跟踪K盘可以看看木马是如 何毁灭自身),其他跟踪项目采取默认设置。 单击“开始”,lnCtrl5开始扫描预安装前的跟踪项目,同时把这个作 为原始数据和安装软件后的监测结果对比。预安装扫描完毕,InCtrl5会自 动激活木马客户端安装,由于木马都是采用后台、静默安装方式,我们不可 能在桌面看到木马安装过程。 木马安装完成后,InCtrl5会给出“install may be complete”提示,按提 示单击“安装完成”,程序开始扫描安装后的监测项目并进行对比分析(如 图2) 查看报告揪出病毒 扫描分析完成后,InCtrl5会自动弹出分析报告,单击“运行”即可查看。 先来看看系统内增加的病毒文件,单 击报告中的Disk Contents链接。在“Files added:2”(文件增加)项,可以看到木马 虽然在后台安装,但InCtrl5 ̄I]可以追踪到 它在系统中增加了2个病毒文件,同时在 “Files delete:l”项可以看到,木马安装完 后会删除客户端本身(如图3)。 继续查看InCtrl5注册表扫描结果, 又发现木马在[KEY—CURRENT_USER\ Software\Microsoft\Windows\Current Version\Run]添加“wfg”启动项,启动文件 正是“C;\windows\sytem32\syswfg.exe”。 一般查看报告的顺序是先找到新增的 病毒文件,如果无法确认病毒文件,还 可以通过新增的自启动键值来查找, [HKEY LOCAL—MACHlNE\SYSTEM\ cu r rentCont rolSet1(伪装为系统服 务启动)、}KEY—CURRENT—uSE R\ Softwa re\Ml c rosoft\Wl rldows\ currentverslo n\Run1(常见启动键值)、 文件关联方式等。 制作专杀 查到木马文件和启动键值后,制作一 个脚本删除对应的键值和病毒文件。启动 “记事本”程序后,依次输入如图4的内 容,保存为“zhuansha.bat”,以后朋友如果 中招这个木马,只要运行专杀文件即可(括 号后为注释,无须输入)。 为了达到更好的专杀效果,建议在安 全模式下运行专杀工具。有些病毒在安全 模式下可能也无法删除,这时可以更改一 下专杀脚本,到D0S下查杀。此外,使 ̄]reg delete删除键值要谨慎,如果不熟悉键值的 作用,建议进入注册表手动删除。叨匝 回
