猥琐的NOD32反映像劫持

Linus · 发表于 2009-1-15 22:25

马上注册，查看更多内容，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

昨天在沙盘里玩IFEO病毒，结果EAV被毙掉了（在嗑毛豆3退出的状态下，因为嗑毛豆3的HIPS太强悍了）。
受启发，写了两个破烂玩意，见笑了。
使用方法：将其复制到记事本，填上病毒程序名，保存为.reg后缀的文件，双击导入，重启，即可生效。
注意事项：
1.此方法适用于NOD32被劫持的情况；
2.使用前请到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下看看里面躺着的是egui.exe还是ekrn.exe，根据情况使用；
3.你的电脑上叫egui.exe和ekrn.exe的程序必须是NOD32的（不能是其他）。

　　

Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\病毒程序名.exe]
　　Debugger=egui.exe

复制代码

Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\病毒程序名.exe]
　　Debugger=ekrn.exe

复制代码

[ 本帖最后由 SUPERODD 于 2009-1-16 22:24 编辑 ]

Linus · 发表于 2009-1-16 08:05

沙发。
没人需要么？
555555555555555
#l%69$

ws2400 · 发表于 2009-1-16 10:04

这个对我来说太高深了！没有研究过病毒，不过很佩服楼主，一看就不是一般的高手！

ick · 发表于 2009-1-16 11:01

这没什么好说的，使用卡巴7.0也碰到过卡巴被病毒弄坏的事情。

Linus · 发表于 2009-1-16 11:17

原帖由 ick 于 2009-1-16 11:01 发表

 登录/注册后可看大图

这没什么好说的，使用卡巴7.0也碰到过卡巴被病毒弄坏的事情。

囧
还用7.0？
卡巴斯基名气太大了，树大招风。枪打出头鸟，病毒第一个毙掉的就是它。

'salmon · 发表于 2009-1-16 11:38

LS

所以我用NOD32

呵呵

sdc774 · 发表于 2009-1-16 12:38

对我来说也是太高深了:lol

ldh603 · 发表于 2009-1-16 14:40

我一般都是直接把Image File Execution Options这项的写权限给所有人拒绝了

Linus · 发表于 2009-1-16 14:56

原帖由 ldh603 于 2009-1-16 14:40 发表

 登录/注册后可看大图

我一般都是直接把Image File Execution Options这项的写权限给所有人拒绝了

所以这样也就无法劫持一些讨厌的东西了，譬如病毒和流氓软件。

andyhome · 发表于 2009-1-16 21:24

可以试试，不过，EAV的自身保护能力的确要提升一下。

账号		自动登录	找回密码
密码			注册

[原创] 猥琐的NOD32反映像劫持

马上注册，查看更多内容，享用更多功能，让你轻松玩转社区。

评分