机器狗

nínshìfǒuzàixúnqiú：

mùlù

·jūn shì yòng tú de“ jī qì gǒu ” Military purposes, "dog"	·jì suàn jī bìng dú“ jī qì gǒu ” Computer Virus "dog"	·“ jī qì gǒu ” xīn、 lǎo bǎn běn bìng dú tè zhēng "Dog" new and old versions of virus signatures
·cuò wù jiū zhèng Error Correction	·zǒng jié Summary	·“ jī qì gǒu ” wèn tí jí huí dá "Dog" questions and answers
·shā dú fāng fǎ	·“ jī qì gǒu” biàn zhǒng	·biàn zhǒng hddguard
·miáo shù Description	·shā dú fāng fǎ	·biàn zhǒng HDDGuard
·jī qì gǒu mù mǎ zhuān shā gōng jù	·xiàngguāncí	·bāo hán cí
·gèngduōjiéguǒ...

jūn shì yòng tú de“ jī qì gǒu ” Military purposes, "dog"

　　《 dà zhòng kē xué》 8 rì bào dào， bō shì dùn dòng lì gōng sī zài měi guó jūn fāng de zhī chí xià yán zhì chū yī zhǒng jī qì gǒu ， wú lùn shì qióng xiāng pì rǎng， hái shì zhàn huǒ fēn fēi de chéng shì suì shí biàn dì de xiǎo xiàng， zhè zhǒng jī qì gǒu dōukě yǐ zhōng xīn gěng gěng dì gēn suí zhàn shì men qù zhí xíng rèn wù。
　　 zhè zhǒng míng jiào“ dà gǒu” de jī qì gǒu kě bù zhǐ huì bǎ fēi pán diāo huí lái， tā kě yǐ tì shì bīng men bēifù zhe jǐ bǎi bàng zhòng de gōng jù， jí shǐ zài huǒ hǎi zhōng páo lái páo qù yě háo bù wèi jù。 jù chēng，“ dà gǒu” shì mù qián shì jiè shàng zuì xióng xīn bó bó de sì jiǎo
　　 jī qì rén， qí wěn dìng xìng yǐ jí fāng xiàng fāng wèi gǎn lìng rén jīng tàn， kě yǐ chǔlǐ zhàn chǎng shàng xǔ duō wèi zhī de tiǎo zhàn。
　　 yuán xíng“ dà gǒu” de shēn cái lèi sì yú dà dān quǎn， měi xiǎo shí kě yǐ páo 3 yīng lǐ yǐ shàng de lù chéng， kě yǐ pá 45 dù jiǎo de xié pō， zài bù shì yú lún shì huò lǚ dài shì chē liàng qián jìn de dì xíng shàng， tā kě yǐ fù zhòng 120 bàng jí xíng jūn。 dàn“ yuán xíng gǒu” zhǐ shì yī tiáo yòu quǎn， bō shì dùn dòng lì gōng sī de yán zhì rén yuán xī wàng jīn nián xià tiān jiù huì tuī chū de dì 'èr dài“ dà gǒu” de xíng jūn sù dù hé fù zhòng zhì shǎo zēng jiā yī bèi。
　　“ dà gǒu” de shēn tǐ shì yī zhǒng gāng jià jié gòu， lǐ miàn zhuāng yòu yī gè yuán tǒng xíng qì yóu
　　 fā dòng jī， wéi“ dà gǒu” de shuǐ yā xì tǒng、 diàn nǎo hé guàn xìng cè suàn dān yuán (imu) tí gōng dòng lì。 guàn xìng cè suàn dān yuán shì jī qì gǒu de zhòng yào zǔ chéng bù fēn， tā shǐ yòng guāng xiān jī guāng tuó luó yí hé yī zǔ jiā sù qì gēn zōng jī qì gǒu de yùn dòng hé wèi zhì。 zhè xiē zhuāng zhì yǔ sì tiáo tuǐ yī qǐ fā huī zuò yòng， jiù kě yǐ shǐ“ dà gǒu” mài chū zhǔn què de bù fá。
　　 jī qì gǒu de tuǐ yóu lǚ zhì chéng， měi tiáo tuǐ shàng yòu sān gè guān jié， lì yòng shuǐ yā cì jī qì， diàn nǎo měi miǎo kě yǐ chóngxīn jiāng guān jié pèi zhì 500 cì。 guān jié shàng zhuāng yòu chuán gǎn qì， fù zé cèliáng lì liàng hé wèi zhì， diàn nǎo cān zhào zhè xiē shù jù， jié hé cóng guàn xìng cè suàn dān yuán huò dé de xìn xī， què dìng sì tiáo tuǐ yīnggāi shì tái qǐ hái shì fàng xià， xiàng yòu zǒu hái shì xiàng zuǒ zǒu。 tōng guò tiáozhěng guān jié de shuǐ yā yè tǐ de liú dòng， diàn nǎo kě yǐ jiāng měi yī zhǐ zhuǎzǐ zhǔn què dì fàng xià。
　　 zhè zhǒng jī qì gǒu hái yòu shì lì： tā de tóu bù zhuāng yòu yī gè lì tǐ shè xiàng tóu hé yī bù jī guāng sǎo miáo yí。 dì yī dài“ dà gǒu” bìng bù néng yǐ zhào zhè liǎng zhǒng yí qì qián jìn， dàn dì 'èr dài jiāng lì yòng tā men shí bié qián fāng de dì xíng， fā xiàn zhàng 'ài wù。 xiàn zài de“ dà gǒu” xū yào yáo kòng， dàn wèi lái bǎn de“ dà gǒu” jiāng huò dé zì yóu shēn， bù xū yào rén lái zhǐ dǎo， jiù kě yǐ zì xíng zuò chū jué dìng。 zhuān jiā yù cè， zài wèi lái bā nián nèi， gèng jiā qiáng dà de zì lǐ néng lì gèng qiáng de“ dà gǒu” suí shí kě yǐ zài zhàn chǎng shàng chí chěng。

jì suàn jī bìng dú“ jī qì gǒu ” Computer Virus "dog"

　　 jī qì gǒu de shēng qián shēn hòu， céng jīng yòu hěn duō rén shuō yòu chuān tòu hái yuán kǎ、 bīng diǎn de bìng dú， dàn shì zài gè gè lùn tán dōuméi yòu yàng běn zhèng jù， zhí dào 2007 nián 8 yuè 29 rì zhōng yú yòu rén zài shè qū lǐ tiē chū liǎo yī gè yàng běn。 zhè gè bìng dú méi yòu míng zì， tú biāo shì sony de jī qì gǒu ā bǎo， jiù xiàng qián bèi xióng māo shāo xiāng yī yàng， dà jiājǐ tā qǐ liǎo gè míng zì jiào jī qì gǒu 。
　　 gōng zuò yuán lǐ
　　 jī qì gǒu běn shēn huì shì fàng chū yī gè pcihdd.sys dào drivers mù lù， pcihdd.sys shì yī gè dǐ céng yìng pán qū dòng， tí gāo zì jǐ de yōu xiān jí jiē tì hái yuán kǎ huò bīng diǎn de yìng pán qū dòng， rán hòu fǎng wèn zhǐ dìng de wǎng zhǐ， zhè xiē wǎng zhǐ zhǐ yào lián jiē jiù huì zì dòng xià zài dà liàng de bìng dú yǔ 'è yì chā jiàn。 rán hòu xiū gǎi jiē guǎn qǐ dòng guǎn lǐ qì， zuì kě pà de shì， huì tōng guò nèi bù wǎng luò chuán bō， yī tái zhōng zhāo， néng yǐn fā zhěng gè wǎng luò de diàn nǎo quán bù zì dòng zhòng qǐ。
　　 zhòng diǎn shì， yī gè bìng dú， rú guǒ yǐ hook fāng shì rù qīn xì tǒng， jiē tì yìng pán qū dòng de fāng shì xiàolǜ tài dī liǎo， ér qiě huǐ huài hái yuán de fāng shì zhè yě bù shì zuì hǎo de， hái yòu jiù shì zhè zhǒng jì shù yìng yòng fàn wéi fēi cháng xiǎo， zhǐ yòu hái yuán jì shù chǎng shāng fàn wéi nèi yòu chuán bō， zài zhè fāng miàn guó jì shàng yě zhǐ yòu zhōng guó zài yòng， suǒ yǐ， hěn kě néng jiù shì hángyè nèi gàng。
　　 duì yú wǎng bā 'ér yán， jī qì gǒu jiù shì jiàn zhǐ wǎng bā 'ér lái， zhēn duì suǒ yòu de hái yuán chǎn pǐn shè jì， kě yù jiàn qí pò huài lì hěn kuài huì chāo guò xióng māo shāo xiāng。 hǎo zài xiàn zài hěn duō miǎn yì bǔ dīng dū yǐ chū xiàn， fā gǎo zhī rì qǐ， gè dà shā dú ruǎn jiàn dū yǐ néng chá shā。
　　 miǎn yì bǔ dīng zhī zhēng
　　 xiàn zài de miǎn yì bǔ dīng zhī shù shì yì miáo xíng shì， yǐ wú hài de yàng běn fù zhì dào drivers xià， qī piàn bìng dú yǐ wéi běn shēn yǐ yùn xíng， qǐ dào zǔ zhǐ wēi hài de mùdì。 zhè zhǒng xíng shì de wèn tí shì， yòu xiē yòng hù wèile zì shēn 'ān quán huì zài jī qì shàng yùn xíng yī xiē chá dú chéng xù（ bǐ rú qq yī shēng zhī lèi）。 zhè yàng yì miáo jiù huì bèi wù rèn wèishì bìng dú， yòu yào fèi hěn duō kǒu shé。
　　 jiě jué zhī dào
　　 zuì xīn de jiě jué fāng 'àn shì jiāng system32/drivers mù lù dān dú fēn pèijǐ yī gè yòng hù， ér bù fù yú administror xiū gǎi de quán xiàn。 suī rán zhè yàng néng jiě jué， dàn yǐ hòu 'ān zhuāng qū dòng jiù shì yī jiàn tóu téng de shì liǎo。
　　 lái chè dǐ qīng chú gāi bìng dú， chǔlǐ hòu zhòng qǐ yī xià diàn nǎo jiù kě yǐ liǎo， zhī qián yào dǎ shàng bǔ dīng！
　　 huò zhě zhè yàng：
　　1 zhù cè biǎo， zǔ cè lüè zhōng jìn zhǐ yùn xíng userinit.exe jìn chéng
　　2 zài qǐ dòng xiàng mù zhōng jiā rù pī chǔlǐ
　　a: qiáng zhì jié shù userinit.exe jìn chéng taskkill/f/imuserinit.exe（ qí zhōng“ /im” cān shù hòu miàn wéi jìn chéng de tú xiàng míng， zhè mìng lìng zhǐ duì xp yòng hù yòu xiào）
　　b: qiáng zhì shān chú userinit.exe wén jiàn del/f/a/q%systemroot%system32userinit.exe
　　c: chuàng jiàn userinit.exe miǎn yì wén jiàn dào %systemroot%system32
　　 mìng lìng： md%systemroot%system32userinit.exe>nul2>nul
　　 huò zhě md%systemroot%system32userinit.exe
　　attrib+s+r+h+a%systemroot%system32userinit.exe
　　d:regadd"hklmsoftwaremicrosoftwindowsntcurrentversionimagefileexecutionoptionsuserinit.exe"/vdebugger/treg_sz/ddebugfile.exe/f
　　userinit1.exe shì zhèng cháng wén jiàn gǎi liǎo míng zì， duō jiā liǎo yī gè 1， nǐ yě kě yǐ zì jǐ xiū gǎi， bù guò yào shǒu dòng xiū gǎi zhè 4 gè zhù cè biǎo， bìng dǎo chū， zhè gè pī chǔlǐ cái néng zhèng cháng shǐ yòng。
　　 zuì xīn dòng xiàng
　　 hǎo xiàng jī qì gǒu de kāi fā yǐ tíng zhǐ liǎo， cóng yàng běn fàng chū dào xiàn zài yě méi yòu xīn de bǎn běn bèi fā xiàn， zhè dào ràng wǒ men fēi cháng dān xīn， yīn wéi suī zhe yán jiū de shēn rù， xiàn zài fáng yù de shǒu duàn dōushì zhēn duì bìng dú gōng zuò yuán lǐ de， yī dàn jī qì gǒu kāi shǐ gēngxīn， shāo jiā gǎi biàn gōng zuò yuán lǐ jiù néng dà miàn jī táo tuō pǔ biàn de fáng yù shǒu duàn， kàn lái jī qì gǒu de bào fā zhǐ shì zài děng dài， ér bù shì dà jiā kě yǐ gāo zhěn liǎo。
　　 mù qián wǎng shàng liú chuán yī zhǒng jiào zuò jī qì gǒu de bìng dú， cǐ bìng dú cǎi yòng hook xì tǒng de cí pán shè bèi zhàn lái dá dào chuān tòu mù de de， wēi hài jí dà， kě chuān tòu mù qián jì shù tiáo jiàn xià de rèn hé ruǎn jiàn yìng jiàn hái yuán！ jī běn wú fǎ kào hái yuán dǐ dǎng。 mù qián yǐ zhī de suǒ yòu hái yuán chǎn pǐn， dōuwú fǎ fáng zhǐ zhè zhǒng bìng dú de chuān tòu gǎn rǎn hé chuán bō。
　　 jī qì gǒu shì yī gè mù mǎ xià zài qì， gǎn rǎn hòu huì zì dòng cóng wǎng luò shàng xià zài mù mǎ、 bìng dú， wēi jí yòng hù zhàng hào de 'ān quán。
　　 jī qì gǒu yùn xíng hòu huì shì fàng yī gè míng wéi pcihdd.sys de qū dòng wén jiàn， yǔ yuán xì tǒng zhōng hái yuán ruǎn jiàn qū dòng jìn xíng yìng pán kòng zhì quán de zhēng duó， bìng tōng guò tì huàn userinit.exe wén jiàn， shí xiàn kāi jī qǐ dòng。
　　>> nà me rú hé shí bié shì fǒu yǐ zhòngdú ní？
　　 shì fǒu zhōng liǎo jī qì gǒu de guān jiàn jiù zài userinit.exe wén jiàn， gāi wén jiàn zài xì tǒng mù lù de system32 wén jiàn jiā zhōng， diǎn jī yòu jiàn chá kàn shǔ xìng， rú guǒ zài shǔ xìng chuāng kǒu zhōng kàn bù dào gāi wén jiàn de bǎn běn biāo qiān de huà， shuō míng yǐ jīng zhōng liǎo jī qì gǒu 。 rú guǒ yòu bǎn běn biāo qiān zé zhèng cháng。
　　 lín shí jiě jué bàn fǎ：
　　 yī shì zài lù yóu shàng fēng ip：
　　ros jiǎo běn , yào de zì jǐ jiā shàng qù
　　/ipfirewallfilter
　　addchain=forwardcontent=yu.8s7.netaction=rejectcomment="df6.0"
　　addchain=forwardcontent=www.tomwg.comaction=reject
　　 'èr shì zài c:windowssystem32drivers xià jiàn lì miǎn yì wén jiàn： pcihdd.sys，
　　 sān shì bǎ tā yào xiū gǎi de wén jiàn zài zuò mǔ pán de shí hòu， jiù jiā ké bìng tì huàn。
　　 zài %systemroot%system32drivers mù lù xià jiàn lì gè míng zì wéi pcihdd.sys de wén jiàn jiā shè zhì shǔ xìng wéi rèn hé rén jìn zhǐ
　　 pī chǔlǐ
　　md%systemroot%system32driverspcihdd.sys
　　cacls%systemroot%system32driverspcihdd.sys/e/peveryone:n
　　cacls%systemroot%system32userinit.exe/e/peveryone:r
　　exit
　　 mù qián， wǎng luò liú xíng yǐ xià jiě jué fāng fǎ， huò zhě kě yǐ zài jǐn jí qíng kuàng xià jiù jí：
　　1、 shǒu xiān zài xì tǒng system32 xià fù zhì gè wú dú de userinit.exe， wén jiàn míng wéi fuckigm.exe( wén jiàn míng kě yǐ rèn yì qǔ )， zhè jiù shì xià miàn pī chǔlǐ yào zhǐ xiàng zhí xíng de wén jiàn！ yě jiù shì kāi jī qǐ dòng userinit.exe de tì dài pǐn！ ér yuán lái de userinit.exe bǎo liú！ qí shí duō fù zhì fèn de mùdì zhǐ shì wèile duō zhòng bǎo xiǎn！ kě néng duì fáng zhǐ yǐ hòu biàn zhǒng qǐ dào yī dìng de zuò yòng。
　　2、 chuàng jiàn gè wén jiàn míng wéi userinit.bat de pī chǔlǐ（ wén jiàn míng yě kě rèn yì qǔ， dàn yào hé xià miàn shuō dào de zhù cè biǎo jiàn zhí bǎo chí yī zhì jí kě）， nèi róng rú xià：
　　startfuckigm.exe( hē hē， gòu jiǎn dān bā？ )
　　3、 xiū gǎi zhù cè biǎo jiàn zhí， jiāng userinit.exe gǎi wéi userinit.bat。 nèi róng rú xià：
　　windowsregistryeditorversion5.00
　　[hkey_local_machinesoftwaremicrosoftwindowsntcurrentversionwinlogon]
　　"userinit"="c:windowssystem32userinit.bat,"
　　 jiù zhè 3 bù， ràng zhè tiáo gǒu zài yě xiōng bù qǐ lái！ zhè shì zài windows2003 cè shì de， shuāng jī jī qì gǒu hòu， méi shí me fǎn yìng， duì bǐ pī chǔlǐ yě shì zhèng cháng， jí zhè gǒu gēn běn méi gǎi dòng tā！ kāi guān jī yóu xì jūn wú yì cháng！ dàn wéi yī měi zhōng bù zú de shì， cǎi yòng jīng diǎn mó shì kāi jī de qǐ dòng shí huì chū xiàn gè yī shǎn 'ér guò de hēi kuàng！
　　 rú guǒ xián má fán， yě bù yào jǐn。 shàng miàn sān tiáo pī chǔlǐ wǎng yǒu yǐ gǎo hǎo liǎo， zhí jiē fù zhì xià miàn de zhè gè cún wéi pī chǔlǐ zhí xíng jiù ok liǎo。 sān bù hé 'èr wéi yī
　　@echooff
　　::: zhí jiē fù zhì xì tǒng system32 xià de wú dú userinit.exe wéi fuckigm.exe
　　cd/d%systemroot%system32
　　copy/yuserinit.exefuckigm.exe>nul
　　::: chuàng jiàn userinit.bat
　　echo@echooff>>userinit.bat
　　echostartfuckigm.exe>>userinit.bat
　　::: zhù cè biǎo cāo zuò
　　regadd"hklmsoftwaremicrosoftwindowsntcurrentversionwinlogon"/vuserinit/treg_sz/d"c:windowssystem32userinit.bat,"/f>nul
　　::: shān diào zì shēn（ tí chàng huán bǎo）
　　del/f/q%0
　　 dāng rán， rú guǒ shí zài bù xíng， xià zài chéng xù killigm。 rán hòu zhí jiē jiě yā yùn xíng lǐ miàn de chéng xù : jī qì gǒu miǎn yì bǔ dīng .bat zhí xíng jiù kě yǐ liǎo .
　　 wǎng shàng liú chuán de lìng yī zhǒng xīn de biàn zhǒng de fáng zhǐ fāng fǎ :
　　 kāi shǐ cài dān yùn xíng . shū rù cmd
　　cd …… dào drivers
　　mdpcihdd.sys
　　cdpcihdd.sys
　　md1...
　　 kě fáng zhǐ zuì xīn biàn zhǒng。 qǐng zhù yì： cǐ fǎ zhǐ néng shì fáng zhǐ， duì yú shā jī qì gǒu hái dé kào zuì xīn de shā dú chéng xù cái xíng。
　　 zhēn duì gāi bìng dú， fǎn bìng dú zhuān jiā jiàn yì guǎng dà yòng hù jí shí shēng jí shā dú ruǎn jiàn bìng dú kù， bǔ qí xì tǒng lòu dòng， shàng wǎng shí què bǎo dǎ kāi“ wǎng yè jiān kòng”、“ yóu jiàn jiān kòng” gōng néng； jìn yòng xì tǒng de zì dòng bō fàng gōng néng， fáng zhǐ bìng dú cóng u pán、 mp3、 yí dòng yìng pán děng yí dòng cún chǔ shè bèi jìn rù dào jì suàn jī； dēng lù wǎng yóu zhàng hào、 wǎng luò yínháng zhàng hù shí cǎi yòng ruǎn jiàn pán shū rù zhàng hào jí mì mǎ

“ jī qì gǒu ” xīn、 lǎo bǎn běn bìng dú tè zhēng "Dog" new and old versions of virus signatures

　　1： xīn bǎn běn“ jī qì gǒu ” bìng dú cǎi yòng vc++6.0 biān xiě， lǎo bǎn běn“ jī qì gǒu ” bìng dú cǎi yòng huì biān biān xiě。
　　2： xīn bǎn běn“ jī qì gǒu ” bìng dú cǎi yòng upx jiā ké， lǎo bǎn běn“ jī qì gǒu ” bìng dú cǎi yòng wèi zhī ké。
　　3： xīn bǎn běn“ jī qì gǒu ” bìng dú qū dòng wén jiàn hěn xiǎo (1,536 zì jié )， lǎo bǎn běn“ jī qì gǒu ” bìng dú qū dòng wén jiàn hěn dà (6,768 zì jié )。
　　4： xīn bǎn běn“ jī qì gǒu ” bìng dú 'ān zhuāng qū dòng hòu méi yòu zhí xíng xiè zài shān chú cāo zuò， lǎo bǎn běn“ jī qì gǒu ” bìng dú 'ān zhuāng qū dòng gōng zuò wán bì hòu huì xiè zài shān chú。
　　5： xīn bǎn běn“ jī qì gǒu ” bìng dú zhēn duì de shì xì tǒng“ conime.exe”、“ ctfmon.exe” hé“ explorer.exe” chéng xù wén jiàn， lǎo bǎn běn“ jī qì gǒu ” bìng dú zhǐ zhēn duì xì tǒng“ userinit.exe” wén jiàn。
　　6： xīn bǎn běn“ jī qì gǒu ” bìng dú méi yòu duì zhù cè biǎo jìn xíng cāo zuò， lǎo bǎn běn“ jī qì gǒu ” bìng dú yòu duì zhù cè biǎo“ hkey_local_machinesoftwaremicrosoftwindowsntcurrentversionwinlogon” xiàng jìn xíng cāo zuò ( gǎn jué gāi cāo zuò méi bì yào， yīn wéi chóngxīn qǐ dòng xì tǒng hòu，“ hái yuán bǎo hù chéng xù” xì tǒng huì jiāng qí hái yuán diào )。
　　7： xīn bǎn běn“ jī qì gǒu ” bìng dú qù dào xì tǒng dllcache wén jiàn jiā xià diào yòng zhēn shí xì tǒng wén jiàn yùn xíng， lǎo bǎn běn“ jī qì gǒu ” bìng dú méi yòu dào xì tǒng dllcache wén jiàn jiā xià diào yòng zhēn shí xì tǒng wén jiàn yùn xíng。
　　8： xīn bǎn běn“ jī qì gǒu ” bìng dú cǎi yòng de shì kòng zhì tái chéng xù tú biāo， lǎo bǎn běn“ jī qì gǒu ” bìng dú cǎi yòng de shì hēi sè jī qì xiǎo gǒu tú 'àn de tú biāo。
　　 dà gài liè jǔ chū lái liǎo shàng biān de jǐ diǎn， jīng guò zǎi xì fēn xī tā men de gōng zuò yuán lǐ hé biān mǎ fēng gé hòu， kě yǐ tuī cè chū xīn bǎn běn“ jī qì gǒu ” bìng dú hé lǎo bǎn běn“ jī qì gǒu ” bìng dú jué dìng bù shì chū zì yī gè rén zhī shǒu。

cuò wù jiū zhèng Error Correction

　　zài cǐ yào jiū zhèng liǎng gè jì shù xìng de wèn tí， wǎng luò shàng liú chuán de yī xiē guān yú fēn xī“ jī qì gǒu ” bìng dú ( xīn、 lǎo bǎn běn ) de bù fēn wén zhāng zhōng， yòu liǎng chù biǎo dá cuò wù de dì fāng。
　　 dì yī chù shì： zài nà xiē fēn xī wén zhāng zhōng suǒ tí dào“ ‘ jī qì gǒu ’ bìng dú huì pò huài‘ hái yuán bǎo hù chéng xù’ xì tǒng， shǐ qí hái yuán gōng néng shī xiào”。 qí shí， cóng gài niàn de lǐ jiě shàng lái jiǎng shù， nà xiē biǎo dá dōushì cuò wù de， shì ràng rén lǐ jiě bù qīng xī de， huì yán zhòng wù dǎo dú zhě。 zhèng què de biǎo shù yīnggāi shì zhè yàng de：“‘ jī qì gǒu ’ bìng dú bìng méi yòu pò huài‘ hái yuán bǎo hù chéng xù’ xì tǒng， yě méi yòu shǐ qí hái yuán gōng néng shī xiào。 zhǐ shì 'ān zhuāng liǎo yī gè bìng dú zì jǐ de cí pán guò lǜ qū dòng qù cāo zuò zhēn shí de cí pán i/o duān kǒu， xiàng zhēn shí de cí pán zhōng zhí xíng xiū gǎi fù gài“ c:windowsexplorer.exe” mù biāo wén jiàn ( wén jiàn míng shì bìng dú zuò zhě dìng yì de， bù gù dìng、 huì biàn。 dàn kěn dìng de shì， zhēn shí cí pán zhōng shì cún zài gāi wén jiàn de。 bìng qiě bìng dú yùn xíng hòu， yī bān zhǐ huì xiū gǎi fù gài yī gè zhēn shí cí pán zhōng de xì tǒng wén jiàn， zài bù huì qù pò huài qí tā zhēn shí cí pán zhōng de wén jiàn ) cāo zuò。 suī rán‘ jī qì gǒu ’ bìng dú yùn xíng hòu xià zài liǎo hěn duō qí tā 'è yì chéng xù bìng 'ān zhuāng yùn xíng， dàn chóngxīn qǐ dòng jì suàn jī hòu， zhè xiē dū huì bèi‘ hái yuán bǎo hù chéng xù’ xì tǒng hái yuán diào de， zhǐ shì wéi yī nà gè bèi xiū gǎi fù gài de zhēn shí cí pán wén jiàn méi yòu bèi hái yuán。 rú guǒ fā xiàn chóngxīn qǐ dòng jì suàn jī hòu， xì tǒng zhōng yǐ rán yòu yī dà duī bìng dú zài yùn xíng。 qí shí， zhè xiē dōushì xì tǒng chóngxīn qǐ dòng hòu， yóu nà gè bèi xiū gǎi fù gài hòu de xì tǒng chéng xù quán bù chóngxīn xià zài huí lái bìng 'ān zhuāng yùn xíng de 'è yì chéng xù。 yě jiù shì shuō， měi cì chóngxīn qǐ dòng jì suàn jī， dōuyào chóngxīn xià zài 'ān zhuāng yī cì suǒ yòu de qí tā 'è yì chéng xù”。
　　 dì 'èr chù shì： zài nà xiē fēn xī wén zhāng zhōng suǒ tí dào“‘ jī qì gǒu ’ bìng dú huì tì huàn xì tǒng zhōng de zhèng cháng chéng xù‘ conime.exe’、‘ ctfmon.exe’、‘ explorer.exe’ huò‘ userinit.exe’” huò“‘ jī qì gǒu ’ bìng dú huì gǎn rǎn xì tǒng zhōng de zhèng cháng chéng xù‘ conime.exe’、‘ ctfmon.exe’、‘ explorer.exe’ huò‘ userinit.exe’”。 qí shí， cóng gài niàn de lǐ jiě shàng lái jiǎng shù， nà xiē biǎo dá dōushì cuò wù de， shì ràng rén lǐ jiě bù qīng xī de， huì yán zhòng wù dǎo dú zhě。 zhèng què de biǎo shù yīnggāi shì zhè yàng de：“‘ jī qì gǒu ’ bìng dú bìng bù shì tì huàn liǎo xì tǒng zhōng de nà xiē zhèng cháng wén jiàn， ér shì zhēn duì nà xiē zhèng cháng wén jiàn zài yìng pán zhōng suǒ cún fàng de zhēn shí wù lǐ dì zhǐ jìn xíng yǐ fù gài de fāng shì qù xiě rù xiāng yìng de 'è yì shù jù。 dà jiā kě yǐ zhǎo lái zhèng cháng de xì tǒng wén jiàn‘ explorer.exe’、 bèi bìng dú xiū gǎi fù gài hòu de xì tǒng wén jiàn‘ explorer.exe’ hé bìng dú shì fàng chū lái de 'è yì chéng xù‘ tmp281.tmp’。 duì bǐ tā men nèi bù shù jù dài mǎ hòu huì fā xiàn， bèi bìng dú xiū gǎi hòu de xì tǒng wén jiàn‘ explorer.exe’ de qián bù fēn shù jù dài mǎ hé” bìng dú shì fàng chū lái de 'è yì chéng xù‘ tmp281.tmp’ wén jiàn de shù jù dài mǎ shì wán quán xiāng tóng de， ér hòu biān de shù jù dài mǎ yǐ rán shì zhèng cháng xì tǒng wén jiàn‘ explorer.exe’ hòu biān de shù jù dài mǎ。”。
　　 jiǎn dān de gài niàn jiě shì：
　　 tì huàn： bǎ yuán mù biāo chéng xù de shù jù dài mǎ quán bù qīng chú diào， yòng xīn chéng xù de shù jù dài mǎ lái dài tì yǐ qián de zhěng gè chéng xù。 zhè yàng， tì huàn hòu de chéng xù zhǐ yòu xīn chéng xù de gōng néng。
　　 gǎn rǎn： zài bù pò huài yuán mù biāo chéng xù shù jù dài mǎ de qián tí xià， xiàng yuán mù biāo chéng xù de shù jù dài mǎ zhōng zhuī jiā shàng xīn chéng xù de shù jù dài mǎ。 zhè yàng， gǎn rǎn hòu de chéng xù jì yòu yuán mù biāo chéng xù de gōng néng， yòu yòu xīn chéng xù de gōng néng。
　　 fù gài： cóng yuán mù biāo chéng xù shù jù dài mǎ de wén jiàn tóu 0 dì zhǐ chù kāi shǐ， xiàng hòu yǐ cì zhí xíng fù gài xiě rù xīn chéng xù de shù jù dài mǎ cāo zuò， wǒ men zhè lǐ zhǐ jiǎ shè yuán mù biāo chéng xù wén jiàn yuǎn yuǎn dà yú xīn chéng xù。 zhè yàng， fù gài hòu de chéng xù zhǐ zhí xíng xīn chéng xù de gōng néng， suī rán yuán mù biāo chéng xù de shù jù dài mǎ hái cún zài yī bù fēn， dàn yóu yú méi yòu bèi diào yòng， suǒ yǐ bù huì zhí xíng。

zǒng jié Summary

　　shàng biān suǒ zhǐ de“ hái yuán bǎo hù chéng xù” wéi lì yòng cí pán guò lǜ qū dòng jì shù biān xiě 'ér chéng de xì tǒng hái yuán bǎo hù chéng xù， chū míng yī diǎn de ruǎn jiàn yòu“ bīng diǎn hái yuán jīng líng” hé“ yǐng zǐ xì tǒng” děng。 yě jiù shì shuō， jiù suàn yòng hù jì suàn jī 'ān zhuāng liǎo shàng biān zhè yàng de“ hái yuán bǎo hù chéng xù”， zhǐ yào shì zhōng liǎo“ jī qì gǒu ” yī lèi lì yòng chuān“ hái yuán bǎo hù chéng xù” jì shù de bìng dú， jiù suàn nín chóngxīn qǐ dòng jì suàn jī liǎo， dàn bèi xiū gǎi de nà gè wén jiàn“ explorer.exe” yě shì yǐ rán bù huì bèi hái yuán de， yīn wéi bìng dú de 'è yì dài mǎ yǐ jīng fù gài jìn liǎo zhè gè zhēn shí de cí pán wén jiàn zhōng。
　　 mù qián de“ jī qì gǒu ” yī lèi lì yòng chuān“ hái yuán bǎo hù chéng xù” jì shù de bìng dú yòu yī gè zhì mìng de ruǎn lē， nà jiù shì tā men suǒ fù gài de zhēn shí xì tǒng wén jiàn zài chóngxīn qǐ dòng jì suàn jī hòu yī dìng yào zì qǐ dòng yùn xíng， bù rán jiù shī qù bìng dú cún zài de yì yì liǎo。 xiàn jīn de“ jī qì gǒu ” bìng dú dū zhǐ shì néng gòu chuān tòu cí pán bǎo hù de， bìng chuān tòu bù liǎo zhù cè biǎo ( wú fǎ zài zhù cè biǎo zhōng bǎo cún tiān jiā huò xiū gǎi hòu de shù jù xìn xī )， zhè gè jiù shì tā zuì dà de quē xiàn。 qí shí， zhù cè biǎo shù jù xìn xī yě shì yǐ wén jiàn de xíng shì bǎo cún zài cí pán zhōng de， xià yī dài“ jī qì gǒu ” bìng dú kě néng huì shí xiàn chuān tòu zhù cè biǎo de gōng néng， děng nà gè shí hòu， kě néng jiù hěn nán fáng fàn liǎo。 zhè hái shì bù suàn shénme de， xià xià yī dài de“ jī qì gǒu ” bìng dú kě néng huì lì yòng zì jǐ de cí pán guò lǜ qū dòng qù gǎn rǎn zhēn shí yìng pán xià de pe wén jiàn， xiāng dāng de kǒng bù 'ā！！
　　 yī dàn gǎn rǎn liǎo gāi bǎn běn de“ jī qì gǒu ” bìng dú， tā bù jǐn jǐn kě yǐ chuān tòu“ hái yuán bǎo hù chéng xù”， zhēn shí xì tǒng yě yī yàng huì zhòngdú。 yīn wéi bìng dú xiū gǎi fù gài liǎo zhēn shí de xì tǒng wén jiàn“ c:windowsexplorer.exe”。 suǒ yǐ měi cì chóngxīn qǐ dòng jì suàn jī hòu， bèi xiū gǎi fù gài de xì tǒng chéng xù“ c:windowsexplorer.exe” tā dū huì zài bèi gǎn rǎn jì suàn jī de hòu tái lián jiē wǎng luò xià zài hài kè shì xiān dìng yì hǎo de xià zài liè biǎo zhōng de quán bù 'è yì chéng xù bìng zì dòng diào yòng yùn xíng。 nà me rú guǒ zhōng gāi bìng dú de yòng hù bǐ jiào duō， jǐ wàn tái jì suàn jī tóng shí qǐ dòng， hài kè de xià zài fú wù qì huì guà diào má？ hē hē ~！！

“ jī qì gǒu ” wèn tí jí huí dá "Dog" questions and answers

　　wèn tí 1： zhè gè zuì xīn de jī qì gǒu biàn zhǒng， shì fǒu yǔ nǐ 12 yuè 19 rì fā de bìng dú bō bào zhōng de jī qì gǒu biàn zhǒng shì tóng yī gè bìng dú？
　　 huí dá： bù shì tóng yī gè bìng dú， zhǐ shì gōng zuò yuán lǐ shí fēn de xiāng sì 'ér yǐ。 jīng guò zǎi xì fēn xī tā men de gōng zuò yuán lǐ hé biān mǎ fēng gé hòu， kě yǐ tuī cè chū xīn bǎn běn“ jī qì gǒu ” bìng dú hé lǎo bǎn běn“ jī qì gǒu ” bìng dú jué dìng bù shì chū zì yī gè rén zhī shǒu。
　　 wèn tí 2： zhè gè zuì xīn de jī qì gǒu biàn zhǒng shì fǒu gōng néng gèng qiáng dà？ qiáng dà zài nà 'ér？ yǔ yǐ wǎng jī qì gǒu bìng dú de bù tóng zhī chù zài nǎ？
　　 huí dá： yīnggāi shì xiāng duì de qiáng dà liǎo xiē。 duì bǐ“ jī qì gǒu ” yī lèi xīn、 lǎo bǎn běn bìng dú de bù fēn tè zhēng rú xià：
　　 wèn tí 3： jī qì gǒu bìng dú duì wǎng bā de yǐng xiǎng hěn dà， duì gè rén yòng hù de yǐng xiǎng yòu duō shǎo？
　　 huí dá： gè rén yòng hù de yǐng xiǎng yǔ wǎng bā de yǐng xiǎng shì tóng yàng dà de。 yīn wéi bù guǎn jì suàn jī xì tǒng shì fǒu 'ān zhuāng“ hái yuán bǎo hù xì tǒng” chéng xù， dū huì tóng yàng xià zài fēi cháng duō de ( mù qián shì xià zài 27 gè 'è yì chéng xù ) wǎng luò yóu xì dào hào mù mǎ děng 'è yì chéng xù jìn xíng 'ān zhuāng yùn xíng， cóng 'ér gěi bèi gǎn rǎn jì suàn jī yòng hù dài qù yī dìng de sǔn shī。 rú guǒ“ yòng hù jì suàn jī yìng jiàn pèi zhì bǐ jiào dī” huò zhě“ cún zài suǒ xià zài de duō gè 'è yì chéng xù zhōng chū xiàn xiāng hù bù jiān róng xiàn xiàng” de huà， huì dǎo zhì yòng hù jì suàn jī xì tǒng bēng kuì diào wú fǎ qǐ dòng yùn xíng。

shā dú fāng fǎ

　　· shǒu dòng shā dú fāng fǎ
　　1： jié shù diào bèi bìng dú xiū gǎi fù gài hòu de“ c:windowsexplorer.exe” chéng xù jìn chéng， shān chú gāi chéng xù wén jiàn。
　　2： yě xǔ xì tǒng huì zì dòng hái yuán huí lái yī gè zhèng cháng de“ explorer.exe” zhuō miàn chéng xù， rú guǒ méi yòu hái yuán de huà， wǒ men kě yǐ shǒu dòng bǎ“ c:windowssystem32dllcache” xià de“ explorer.exe” wén jiàn kǎo bèi dào“ c:windows” xià。
　　3： shǒu dòng xiè zài diào bìng dú 'è yì qū dòng chéng xù“ phy.sys” wén jiàn。 kě yǐ zài zhù cè biǎo zhōng zhǎo dào bìng dú 'è yì qū dòng chéng xù“ phy.sys” de qǐ dòng guān lián wèi zhì rán hòu shān chú， jiē zhe zài shān chú diào“ c:windowssystem32driversphy.sys” wén jiàn。 wǒ shí jì shì guò n cì zhè zhǒng fāng fǎ， zhēn duì gāi bìng dú jué dìng hǎo shǐ。
　　4： chóngxīn qǐ dòng jì suàn jī hòu， yī qiē jiù dū huì biàn wéi zhèng cháng liǎo。 dàn shì gāi xīn bǎn de“ jī qì gǒu ” bìng dú huì xià zài 27 gè ( bù gù dìng ) è yì chéng xù dào bèi gǎn rǎn jì suàn jī zhōng 'ān zhuāng yùn xíng， zhè xiē bìng dú kě yǐ 'ān zhuāng jiāng mín gōng sī de kv2008 qù chá shā， xiào guǒ hěn bù cuò。
　　· chāo jí xún jǐng zhī jī qì gǒu bìng dú zhuān shā v1.3：
　　 běn gōng jù kě jiǎn cè bìng chá shā jī qì gǒu bìng dú， kě chuān tòu jī qì gǒu suǒ néng chuān tòu de hái yuán xì tǒng lái xiū fù bèi gǎn rǎn de wén jiàn。 běn gōng jù hái jù yòu miǎn yì de gōng néng， zhēn duì yǐ zhī jī qì gǒu biàn zhǒng jìn xíng miǎn yì， fáng zhǐ zài cì gǎn rǎn。 lìng wài， kě shǐ yòng mìng lìng xíng fāng shì jìn xíng shā dú， biàn yú zì dòng huà cāo zuò， jiàn yì wǎng bā děng chǎng suǒ shè zhì wéi kāi jī zì dòng shā dú， jiǎn shǎo chóngfù zuò yè。
　　 xià zài dì zhǐ：
　　http://download.pchome.net/utility/antivirus/trojan/detail-81071l
　　http://update4.dswlab.com/rodogkiller1.3.zip

“ jī qì gǒu” biàn zhǒng

　　08 jī qì gǒu biàn zhǒng yī： zhù rù "explorer.exe" jìn chéng
　　explorer.exe jī qì gǒu - fēn xī（ nì xiàng gōng chéng）
　　 wén zhāng mò wěi suǒ tiān jiā de jī qì gǒu 、 igm、 xiě chuān hái yuán de gōng jù
　　 yàng běn tuō ké
　　od jiā zài yàng běn explorer.exe，
　　 duì getmodulehandlea xià duàn， cān shù wéi null shí jí wéi rù kǒu diǎn chù duì cǐ hán shù de diào yòng，
　　 tuì chū call zhī hòu kě yǐ dé dào rù kǒu wéi 004016ed。
　　 chóngxīn jiā zài yàng běn， duì 004016ed xià nèi cún xiě rù duàn diǎn， zhōng duàn hòu stepover yī bù， rán hòu zài 004016ed
　　 xià duàn diǎn， f9 yùn xíng dào rù kǒu， dump。 dump zhī hòu bù guān bì od， ràng yàng běn chǔyú guà qǐ zhuàng tài， shǐ yòng importrec xiū fù dump
　　 chū lái de wén jiàn de dǎo rù biǎo。
　　 xiū fù zhī hòu dump chū lái de wén jiàn yòng od jiā zài chū cuò， shǐ yòng peditor de rebuilder gōng néng chóngjiàn pe zhī hòu jí kě yòng od jiā zài， shuō míng
　　 tuō ké jī běn chéng gōng， dàn zī yuán bù fēn réng yòu wèn tí , wú fǎ yòng reshacker chá kàn
　　pcihdd.sys de tí qǔ
　　od jiā zài yàng běn explorer.exe， shè zhì yòu xīn mó kuài jiā zài shí zhōng duàn， f9 yùn xíng
　　 dāng advapi32.dll jiā zài shí， duì createservicea xià duàn diǎn， f9 yùn xíng
　　 dāng createservicea zhōng duàn shí， jí kě tí qǔ chū pcihdd.sys
　　pcihdd.sys jī běn liú chéng rú xià
　　1) jiǎn chá idt de 09（ npxsegmentoverrun） hé 0e（ pagefault） chǔlǐ chéng xù de dì zhǐ
　　 rú guǒ 09 hào zhōng duàn chǔlǐ chéng xù cún zài， bìng qiě chǔlǐ chéng xù dì zhǐ de gāo 8 wèi yǔ 0e chǔlǐ chéng xù gāo 8 wèi bù tóng， zé bǎ
　　idt zhōng 0e de gāo 16 wèi shè wéi 0。 gū jì shì jiǎn chá 0e shì bù shì bèi hook liǎo
　　 wǒ bǐ jiào wò chuò， kàn bù dǒng zhè xiē cāo zuò de yì sī， zhè yàng bù bsod？ qǐng dǒng de xiōng dì gēn tiē gào sù yī shēng
　　2) tōng guò sōu suǒ dì zhǐ lái chá zhǎo zì jǐ de jiā zài dì zhǐ
　　 chá zhǎo qū dòng wén jiàn de zī yuán zhōng de 1000/1000, bìng fù zhì dào yī gè quán jú huǎn chōng qū zhōng
　　3) chuàng jiàn liǎo devicephysicalharddisk0 jí qí fú hào lián jiē dosdevicesphysicalharddisk0
　　4) zhǐ duì irp_mj_create
　　irp_mj_close
　　irp_mj_device_control
　　 zuò chū xiǎng yìng
　　 qí zhōng irp_mj_create zhōng huì duàn kāi deviceharddisk0dr0 shàng fù jiā de shè bèi。 zhè gè cāo zuò huì shǐ cí pán guò lǜ qū dòng、 wén jiàn xì tǒng
　　 qū dòng (os tí gōng de，
　　 dàn yī xiē shā dú ruǎn jiàn
　　 yě tōng guò cǐ qú dào jìn xíng wén jiàn xì tǒng jiān kòng） jí qí shàng de wén jiàn xì tǒng guò lǜ qū dòng（ dà duō shù wén jiàn fǎng wèn kòng zhì hé jiān kòng
　　 dōushì zhè gè céng cì de） wú xiào
　　 zài irp_mj_close zhōng duì huī fù dr0 shàng de fù jiā
　　 zài irp_mj_device_control zhōng duì 0xf0003c04 zuò chū xiǎng yìng， zhǐ shì bǎ 2) zhōng zhǎo dào de zī yuán shù jù jiě mì hòu fǎn huí dào yìng yòng chéng xù。
　　 jiě mì mì yào shì tōng guò yìng yòng chéng xù chuán rù de yī gè chuàn（ mì yào zhǒng zǐ？） chá biǎo hòu chǎn shēng (key： 0x3f702d98)
　　0xf0003c04 de zuò yòng：
　　 jiāng yòng hù tài chuán rù de zhěng gè dài mǎ tǐ zuò wéi mì yào zhǒng zǐ duì zhè gè dài mǎ tǐ jìn xíng lèi sì yú jiàoyàn hé de yùn suàn hòu dé
　　 dào 4 zì jié de jiě mì key， rán hòu shǐ yòng cǐ jiě mì key jiāng qū dòng zì shēn xié dài de zī yuán jiě mì（ jǐn jǐn shì xor）， jiāng jiě mì
　　 jiēguǒ fǎn huí gěi yòng hù tài。
　　 guān yú jiě chú dr0 shàng de fù jiā shè bèi：
　　 zhè zhǒng cāo zuò yīnggāi huì yǐng xiǎng xì tǒng zhèng cháng de wén jiàn xì tǒng cāo zuò， dàn shì yīn wéi shí jì cāo zuò shí cǐ qū dòng bèi dǎ kāi hé guān bì dídí jiàngé hěn duǎn， suǒ yǐ yīnggāi
　　 bù huì yòu míng xiǎn yǐng xiǎng。
　　explorer.exe liú chéng
　　1、 shì fàng zī yuán zhōng de pcihdd.sys bìng chuàng jiàn míng wéi pcihdd de fú wù， qǐ dòng fú wù
　　2、 dìng wèi userinit.exe zài yìng pán zhōng de wèi zhì。 dìng wèi fāng fǎ rú xià
　　1) tōng guò fsctl_get_retrieval_pointers huò qǔ wén jiàn shù jù de fēn bù xìn xī
　　2) tōng guò zhí jiē fǎng wèn yìng pán (\.physicalharddisk0) dídí mdr hé
　　 dì yī gè fēn qū de yǐn dǎo shàn qū dé dào fēn qū cān shù ( měi cù shàn qū shù ), pèi hé 1) zhōng dé dào de xìn xī
　　 lái dìng wèi wén jiàn zài yìng pán shàng de jué duì piān yí liàng。
　　 zhè lǐ yòu gè xiǎo bug， shàn qū dà xiǎo shì shǐ yòng gù dìng de 512 zì jié 'ér bù shì cóng yǐn dǎo shàn qū zhōng huò qǔ
　　3) tōng guò duì bǐ readfile dú qǔ de wén jiàn shù jù hé zì jǐ dìng wèi hòu zhí jiē
　　 dú qǔ suǒ dé dào de wén jiàn shù jù， què dìng dìng wèi shì fǒu zhèng què
　　3、 bǎ zhěng gè dài mǎ tǐ zuò wéi cān shù chuán dì gěi pcihdd.sys, kòng zhì mǎ 0xf0003c04， bìng jiāng pcihdd fǎn huí
　　 de shù jù zhí jiē xiě rù userinit.exe de dì yī cù
　　 bèi xiū gǎi hòu de userinit.exe
　　1） chá xún softwaremicrosoftwindowsntcurrentversionwinlogon xià de shell jiàn zhí
　　2） chuàng jiàn shell jìn chéng
　　3） děng dài wǎng luò liàn jiē， dāng wǎng luò liàn jiē chàng tōng hòu， zé cóng http://yu.8s7.net/cert.cer xià zài liè biǎo
　　4） duì yú liè biǎo zhōng de wén jiàn měi gè wén jiàn， chuàng jiàn yī gè xīn xiàn chéng xià zài bìng zhí xíng， xiàn chéng jì shù jiā yī（ inc）
　　5） děng dài suǒ yòu xiàn chéng jié shù hòu（ xiàn chéng jì shù wéi 0） jié shù jìn chéng。
　　 duì yú xiàn chéng jì shù de cāo zuò bìng bù shì yuán zǐ cāo zuò， lǐ lùn shàng duō cpu qíng kuàng xià yòu xiǎo de gàilǜ chū wèn tí。
　　 bù guò rén jiā shì xiě zhēn duì pǔ tōng pc de bìng dú， duō cpu bù cháng jiàn， yě bù xū yào wěn dìng
　　 wén zhōng suǒ zhǐ de bìng dú jiù shì yī bān shuō de xīn av zhōng jié zhě
　　 jī qì gǒu ： http://www.esfast.net/downs/explorer.rar
　　igm： http://www.esfast.net/downs/igm.rar
　　 xiě chuān hái yuán de gōng jù： http://www.esfast.net/downs/sectoreditor.zip
　　 mù qián fáng hù bàn fǎ kě yǐ xuǎn yòng xīn de dì sān dài hái yuán ruǎn jiàn。
　　08 jī qì gǒu biàn zhǒng 'èr： zhù rù "spoolsv.exe" jìn chéng
　　0、 jiǎn chá explorer.exe、 spoolsv.exe shì fǒu yòu ntfs.dll mó kuài， bìng chá zhǎo“ ssppoooollssvv” zì fú chuàn（ hù chì tǐ）
　　 rú guǒ fā xiàn， zé tuì chū。
　　1、 shǒu xiān qǐ dòng yī gè jìn chéng： spoolsv.exe， zhè shì yī gè dǎ yìn fú wù xiāng guān de jìn chéng。
　　 jí biàn shì jìn yòng xì tǒng de dǎ yìn fú wù， tā réng rán kě yǐ yóu jī qì gǒu qǐ dòng。
　　 cóng rèn wù guǎn lǐ qì kě yǐ fā xiàn， zhè shì yī gè dāng qián yòng hù jí de quán xiàn， hěn róng yì qū bié
　　2、 lín shí wén jiàn jiā hé %systemroot%system32drivers shì fàng ntfs.dll。
　　 bìng cháng shì zhù rù spoolsv.exe。 cè shì shí méi yòu shí xiàn。
　　3、 gēn jù bìng dú tǐ nèi de jiā mì zì fú chuàn jiě mì：
　　10004180=userinit.10004180(ascii"nb0ddqn55bcyi1jo4jtulzpa2g3ic244")（ ecx）
　　77c178c08b01moveax,dwordptrds:[ecx]
　　77c178c2bafffefe7emovedx,7efefeff
　　77c178c703d0addedx,eax
　　77c178c983f0ffxoreax,ffffffff
　　77c178cc33c2xoreax,edx
　　77c178ce83c104addecx,4 xún huán
　　77c178d1a900010181testeax,81010100
　　 měi cì qǔ shuāng zì jié， yǔ 7efefeff xiāng jiā。（ edx）
　　 zài jiāng shuāng zì jié nèi de shù jù hé ffffffff yì huò（ eax）
　　 rán hòu xoreax,edx
　　 zuì hòu jiě mì dé： hxxp://a1.av.gs/tick.asp
　　 cóng zhè gè wǎng zhàn huò dé urlabcdown.txt。 dú qǔ lǐ miàn de nèi róng：
　　http://down.malasc.cn/plmm.txt
　　 zuì hòu xià zài 27 dào hào mù mǎ， pǐn zhǒng hái shì bǐ jiào qí de， dà huà、 mèng huàn、 jī zhàn、 qí jì、 chuán qí、 qq、 qqgame děng。
　　 shì fàng lù jìng shì： %systemroot%system32drivers。
　　4、 jiā zài qū dòng %systemroot%system32driverspuid.sys：
　　[hkey_local_machinesystemcurrentcontrolsetservicespuid]
　　"type"=dword:00000001
　　"start"=dword:00000003
　　"errorcontrol"=dword:00000000
　　"imagepath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,
　　52,00,49,00,56,00,45,00,52,00,53,00,5c,00,70,00,75,00,69,00,64,00,2e,00,73,
　　00,79,00,73,00,00,00
　　"displayname"="puid"
　　[hkey_local_machinesystemcurrentcontrolsetservicespuidsecurity]
　　"security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,
　　00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,
　　00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,
　　05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,
　　20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,
　　00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,
　　00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
　　[hkey_local_machinesystemcurrentcontrolsetservicespuidenum]
　　"0"="rootlegacy_puid000"
　　"count"=dword:00000001
　　"nextinstance"=dword:00000001
　　 bìng shì fàng iefjsdfas.txt， lǐ miàn jì lù yī xiē puid.sys xìn xī。
　　 rú guǒ iefjsdfas.txt lǐ miàn de nèi róng hé shí jì de bù fú hé， kě néng pàn duàn wéi puid.sys shì miǎn yì wén jiàn jiā huò wú xiào wén jiàn。
　　 zhè shí hòu tā kě néng huì shān chú zhè gè wén jiàn， zài chóngxīn jiā zài。
　　（ wèi zhèng shí， wǒ jìn zhǐ liǎo tā de qū dòng jiā zài）
　　5、 jì lù yī gè jìn chéng kuài zhào， měi gé 30 miǎo zhí xíng yī cì。 rú guǒ fā xiàn yǐ xià zì fú chuàn zé jié shù：
　　antiarp.exe
　　360tray.exe
　　360safe.exe
　　6、 lìng wài nà gè puid.sys kě néng huì xiū gǎi userinit.exe dá dào chuān tòu hái yuán de mùdì。
　　08 jī qì gǒu biàn zhǒng sān： zhù rù "conime.exe" jìn chéng
　　conime.exe shì shū rù fǎ biān ji qì xiāng guān chéng xù， zǎo qī yòng lái chuán bō igm bìng dú， xiàn zài yě chéng wéi jī qì gǒu de zài tǐ。 chuān tòu hòu， chéng wéi yī gè mù mǎ xià zài qì bìng dú。
　　08 jī qì gǒu biàn zhǒng sì： zhù rù "ctfmon.exe" jìn chéng
　　 zhǎo bù dào ~ shū rù fǎ bèi de tú biāo méi yòu liǎo， jiù shì wén zì fú wù hé shū rù yǔ yán -> gāo jí -> guān bì gāo jí wén zì fú wù nà lǐ dǎ gòu liǎo ~ zěn me qù yě qù bù diào。
　　 hái zhǎo dào liǎo bìng dú xià zài qí tā bìng dú mù mǎ de dì zhǐ liè biǎo wén jiàn： c:windowssystem32 utility.txt
　　 tuī jiàn shǐ yòng jīn shān dú bà 2008(http://www1.duba2008.org.cn) shā dú ruǎn jiàn tí gōng de jī qì gǒu zhuān shā gōng jù： http://bbs.duba.net/attachment.php?aid=16065774
　　 jí shǒu dòng xiū fù fāng fǎ： http://bbs.duba.net/viewthread.php?tid=21843365&highlight=

biàn zhǒng hddguard

　　shā dú fāng fǎ：
　　 shān chú yǐ xià wén jiàn
　　 kě yǐ shǐ yòng icesword， wsyscheck， autoruns děng ruǎn jiàn
　　 qǐ dòng xiàng mù：
　　 zhù cè biǎo
　　[hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorershellexecutehooks]
　　<><c:windowssystem32mfdesy.dll>
　　<><c:windowssystem32sgrefg.dll>
　　<><c:windowssystem32zjydcx.dll>
　　<><c:windowssystem32hhrdxd.dll>
　　<><c:windowssystem32dhyszj.dll>
　　<><c:windowssystem32fmcvxy.dll>
　　<><c:windowssystem32jhfrxz.dll>
　　<><c:windowssystem32jhrcar.dll>
　　1、 ==================================
　　 qū dòng chéng xù
　　[msskye/msskye][running/autostart]
　　<system32driversmsaclue.sys><n/a>
　　 jìn chéng lǐ de xiàng mù tài duō， zhí jiē xiě zài chǔlǐ fāng fǎ lǐ
　　 xià zài xdelbox
　　 shǐ yòng fāng fǎ：
　　 zài xdelbox zhōng tiān jiā：
　　c:windowssystem32ijougiemnaw.dll
　　c:windowssystem32iqnauhc.dll
　　c:windowssystem323auhad.dll
　　c:windowssystem32xhtd.dll
　　c:windowssystem32uohsom.dll
　　c:windowssystem32uyom.dll
　　c:windowssystem32gnolnait.dll
　　c:windowssystem32oadnew.dll
　　c:windowssystem32auhad.dll
　　c:windowssystem32hhrdxd.dll
　　c:windowssystem32hddguard.dll
　　c:windowssystem32jhrcar.dll
　　c:windowssystem32jhfrxz.dll
　　c:windowssystem32fmcvxy.dll
　　c:windowssystem32dhyszj.dll
　　c:windowssystem32zjydcx.dll
　　c:windowssystem32sgrefg.dll
　　c:windowssystem32mfdesy.dll
　　c:windowssystem32driversmsaclue.sys
　　 yòu jiàn xdelbox xuǎn“ lì jí zhòng qǐ shān chú”
　　xdelbox huì zì dòng zhòng qǐ shān chú yǐ shàng bìng dú wén jiàn
　　 zài cì zhòng qǐ shí 'àn f8 jìn rù 'ān quán mó shì
　　 yòng sreng shān chú yǐ shàng yòu wèn tí de zhù cè biǎo xiàng、 qū dòng
　　-------------------------------------------------------------------------------------------------------------------------------------------------
　　-------------------------------------------------------------------------------------------------------------------------------------------------
　　-------------------------------------------------------------------------------------------------------------------------------------------------
　　-------------------------------------------------------------------------------------------------------------------------------------------------
　　-------------------------------------------------------------------------------------------------------------------------------------------------
　　 zuì xīn jī qì gǒu xiàn zài zàn shí hái méi yòu jiě jué de bàn fǎ！ bāo kuò wēi ruǎn bǎi fēn zhī 90% de hái yuán bèi chuān tòu
　　1. zhù bìng dú（ mm.exe） yùn xíng hòu， shì fàng rú xià wén jiàn：
　　 chéng xù dài mǎ
　　c:windowssystem32driverspcihdd2.sys
　　c:windowssystem32lssass.exe
　　 zhù cè fú wù deepfreeupdate zhǐ xiàng c:windowssystem32driverspcihdd2.sys bìng jiā zài zhè gè qū dòng zhè gè qū dòng jí wéi jī qì gǒu de qū dòng
　　 zhī hòu huì tì huàn userinit.exe wén jiàn
　　2. zhī hòu mm.exe qǐ dòng c:windowssystem32lssass.exe zhì cǐ mm.exe（ jí jī qì gǒu ） tuì chū dà quán jiāo gěi lssass.exe
　　3.lssass.exe yùn xíng hòu， shì fàng rú xià wén jiàn
　　c:windowssystem32driversati32srv.sys
　　 zhù cè fú wù ati2hddsrv zhǐ xiàng ati32srv.sys bìng jiā zài zhè gè qū dòng gāi qū dòng kě yǐ huī fù xì tǒng de ssdt biǎo shǐ dé shā dú ruǎn jiàn de apihook wán quán shī xiào ... hěn duō shā dú ruǎn jiàn de“ zhù dòng fáng yù” hé“ zì wǒ bǎo hù” gōng néng yě yīn cǐ shī xiào
　　4. diào yòng cmd.exe bǎ kvtrust.dll， urlguard.dll， antispy.dll， safemon.dll， ieprot.dll zhòng mìng míng wéi tmp%d.temp de gé shì
　　5. jié shù hěn duō 'ān quán ruǎn jiàn jìn chéng
　　 chéng xù dài mǎ
　　avp.com
　　avp.exe
　　runiep.exe
　　pfw.exe
　　fyfirewall.exe
　　rfwmain.exe
　　rfwsrv.exe
　　kavpf.exe
　　kpfw32.exe
　　nod32kui.exe
　　nod32.exe
　　navapsvc.exe
　　navapw32.exe
　　avconsol.exe
　　webscanx.exe
　　npfmntor.exe
　　vsstat.exe
　　kpfwsvc.exe
　　ras.exe
　　ravmond.exe
　　mmsk.exe
　　wopticlean.exe
　　qqkav.exe
　　qqdoctor.exe
　　eghost.exe
　　360safe.exe
　　iparmo.exe
　　adam.exe
　　icesword.exe
　　360rpt.exe
　　360tray.exe
　　agentsvr.exe
　　appsvc32.exe
　　autoruns.exe
　　avgrssvc.exe
　　avmonitor.exe
　　ccenter.exe
　　ccsvchst.exe
　　filedsty.exe
　　ftcleanershell.exe
　　hijackthis.exe
　　iparmor.exe
　　ispwdsvc.exe
　　kabaload.exe
　　kascrscn.scr
　　kasmain.exe
　　kastask.exe
　　kavdx.exe
　　kavpfw.exe
　　kavsetup.exe
　　kavstart.exe
　　kislnchr.exe
　　kmailmon.exe
　　kmfilter.exe
　　kpfw32.exe
　　kpfw32x.exe
　　kpfwsvc.exe
　　kregex.exe
　　krepair.com
　　ksloader.exe
　　kvcenter.kxp
　　kvdetect.exe
　　kvfwmcl.exe
　　kvmonxp.kxp
　　kvmonxp_1.kxp
　　kvol.exe
　　kvolself.exe
　　kvreport.kxp
　　kvscan.kxp
　　kvsrvxp.exe
　　kvstub.kxp
　　kvupload.exe
　　kvwsc.exe
　　kvxp.kxp
　　kvxp_1.kxp
　　kwatch.exe
　　kwatch9x.exe
　　kwatchx.exe
　　magicset.exe
　　mcconsol.exe
　　mmqczj.exe
　　kav32.exe
　　nod32krn.exe
　　pfwliveupdate.exe
　　qhset.exe
　　ravmond.exe
　　ravstub.exe
　　regclean.exe
　　rfwcfg.exe
　　rfwmain.exe
　　rfwsrv.exe
　　rsagent.exe
　　rsaupd.exe
　　safelive.exe
　　scan32.exe
　　shcfg32.exe
　　smartup.exe
　　sreng.exe
　　symlcsvc.exe
　　syssafe.exe
　　trojandetector.exe
　　trojanwall.exe
　　trojdie.kxp&nb

miáo shù Description

　　gāi bìng dú dà dū zài wǎng bā děng dà xíng de diàn nǎo wǎng luò huì bǐ jiào liú xíng， yī bān zài gè rén diàn nǎo bù róng yì zhōng cǐ bìng dú， xiàn zài dà duō shā dú ruǎn jiàn dōukě yǐ chá shā gāi bìng dú。

shā dú fāng fǎ

　　· shǒu dòng shā dú fāng fǎ
　　1： jié shù diào bèi bìng dú xiū gǎi fù gài hòu de“ C:windowsexplorer.exe” chéng xù jìn chéng， shān chú gāi chéng xù wén jiàn。
　　2： yě xǔ xì tǒng huì zì dòng hái yuán huí lái yī gè zhèng cháng de“ explorer.exe” zhuō miàn chéng xù， rú guǒ méi yòu hái yuán de huà， wǒ men kě yǐ shǒu dòng bǎ“ C:windowssystem32dllcache” xià de“ explorer.exe” wén jiàn kǎo bèi dào“ C:windows” xià。
　　3： shǒu dòng xiè zài diào bìng dú 'è yì qū dòng chéng xù“ phy.sys” wén jiàn。 kě yǐ zài zhù cè biǎo zhōng zhǎo dào bìng dú 'è yì qū dòng chéng xù“ phy.sys” de qǐ dòng guān lián wèi zhì rán hòu shān chú， jiē zhe zài shān chú diào“ C:windowssystem32DRIVERSphy.sys” wén jiàn。 wǒ shí jì shì guò N cì zhè zhǒng fāng fǎ， zhēn duì gāi bìng dú jué dìng hǎo shǐ。
　　4： chóngxīn qǐ dòng jì suàn jī hòu， yī qiē jiù dū huì biàn wéi zhèng cháng liǎo。 dàn shì gāi xīn bǎn de“ jī qì gǒu ” bìng dú huì xià zài 27 gè ( bù gù dìng ) è yì chéng xù dào bèi gǎn rǎn jì suàn jī zhōng 'ān zhuāng yùn xíng， zhè xiē bìng dú kě yǐ 'ān zhuāng jiāng mín gōng sī de KV2008 qù chá shā， xiào guǒ hěn bù cuò。
　　· chāo jí xún jǐng zhī jī qì gǒu bìng dú zhuān shā v1.3：
　　 běn gōng jù kě jiǎn cè bìng chá shā jī qì gǒu bìng dú， kě chuān tòu jī qì gǒu suǒ néng chuān tòu de hái yuán xì tǒng lái xiū fù bèi gǎn rǎn de wén jiàn。 běn gōng jù hái jù yòu miǎn yì de gōng néng， zhēn duì yǐ zhī jī qì gǒu biàn zhǒng jìn xíng miǎn yì， fáng zhǐ zài cì gǎn rǎn。 lìng wài， kě shǐ yòng mìng lìng xíng fāng shì jìn xíng shā dú， biàn yú zì dòng huà cāo zuò， jiàn yì wǎng bā děng chǎng suǒ shè zhì wéi kāi jī zì dòng shā dú， jiǎn shǎo chóngfù zuò yè。
　　 xià zài dì zhǐ：
　　http://download.pchome.net/utility/antivirus/trojan/detail-81071.html
　　http://update4.dswlab.com/RodogKiller1.3.zip
　　·360 ān quán wèi shì：
　　 mù qián jiǎn cè chá shā jī qì gǒu bìng dú zuì yòu xiào de gōng jù , jī qì gǒu běn shēn xià zài dedōu shì mù mǎ hé hòu mén gōng jī， 360 ān quán wèi shì háo wú yí wèn shì zuì hǎo de chá shā mù mǎ fáng yù mù mǎ de zuì hǎo ruǎn jiàn。
　　 xià zài dì zhǐ：
　　http://www.360.cn

biàn zhǒng HDDGuard

　　shā dú fāng fǎ：
　　 shān chú yǐ xià wén jiàn
　　 kě yǐ shǐ yòng icesword， wsyscheck， autoruns děng ruǎn jiàn
　　 qǐ dòng xiàng mù：
　　 zhù cè biǎo
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
　　<><C:WINDOWSsystem32mfdesy.dll>
　　<><C:WINDOWSsystem32sgrefg.dll>
　　<><C:WINDOWSsystem32zjydcx.dll>
　　<><C:WINDOWSsystem32hhrdxd.dll>
　　<><C:WINDOWSsystem32dhyszj.dll>
　　<><C:WINDOWSsystem32fmcvxy.dll>
　　<><C:WINDOWSsystem32jhfrxz.dll>
　　<><C:WINDOWSsystem32jhrcar.dll>
　　1、 ==================================
　　 qū dòng chéng xù
　　[msskye/msskye][Running/AutoStart]
　　<system32DRIVERSmsaclue.sys><N/A>
　　 jìn chéng lǐ de xiàng mù tài duō， zhí jiē xiě zài chǔlǐ fāng fǎ lǐ
　　 xià zài XDELBOX
　　 shǐ yòng fāng fǎ：
　　 zài XDELBOX zhōng tiān jiā：
　　C:WINDOWSsystem32ijougiemnaw.dll
　　C:WINDOWSsystem32iqnauhc.dll
　　C:WINDOWSsystem32auhad.dll
　　C:WINDOWSsystem32xhtd.dll
　　C:WINDOWSsystem32uohsom.dll
　　C:WINDOWSsystem32uyom.dll
　　C:WINDOWSsystem32gnolnait.dll
　　C:WINDOWSsystem32oadnew.dll
　　C:WINDOWSsystem32auhad.dll
　　C:WINDOWSsystem32hhrdxd.dll
　　C:WINDOWSsystem32HDDGuard.dll
　　C:WINDOWSsystem32jhrcar.dll
　　C:WINDOWSsystem32jhfrxz.dll
　　C:WINDOWSsystem32fmcvxy.dll
　　C:WINDOWSsystem32dhyszj.dll
　　C:WINDOWSsystem32zjydcx.dll
　　C:WINDOWSsystem32sgrefg.dll
　　C:WINDOWSsystem32mfdesy.dll
　　C:WINDOWSsystem32DRIVERSmsaclue.sys
　　 yòu jiàn XDELBOX xuǎn“ lì jí zhòng qǐ shān chú”
　　XDELBOX huì zì dòng zhòng qǐ shān chú yǐ shàng bìng dú wén jiàn
　　 zài cì zhòng qǐ shí 'àn F8 jìn rù 'ān quán mó shì
　　 yòng SREng shān chú yǐ shàng yòu wèn tí de zhù cè biǎo xiàng、 qū dòng
　　-------------------------------------------------------------------------------------------------------------------------------------------------
　　-------------------------------------------------------------------------------------------------------------------------------------------------
　　-------------------------------------------------------------------------------------------------------------------------------------------------
　　-------------------------------------------------------------------------------------------------------------------------------------------------
　　-------------------------------------------------------------------------------------------------------------------------------------------------
　　 zuì xīn jī qì gǒu xiàn zài zàn shí hái méi yòu jiě jué de bàn fǎ！ bāo kuò wēi ruǎn bǎi fēn zhī 90% de hái yuán bèi chuān tòu
　　1. zhù bìng dú（ mm.exe） yùn xíng hòu， shì fàng rú xià wén jiàn：
　　 chéng xù dài mǎ
　　C:WINDOWSsystem32driverspcihdd2.sys
　　C:WINDOWSsystem32lssass.exe
　　 zhù cè fú wù DeepFreeUpdate zhǐ xiàng C:WINDOWSsystem32driverspcihdd2.sys bìng jiā zài zhè gè qū dòng zhè gè qū dòng jí wéi jī qì gǒu de qū dòng
　　 zhī hòu huì tì huàn userinit.exe wén jiàn
　　2. zhī hòu mm.exe qǐ dòng C:WINDOWSsystem32lssass.exe zhì cǐ mm.exe（ jí jī qì gǒu ） tuì chū dà quán jiāo gěi lssass.exe
　　3.lssass.exe yùn xíng hòu， shì fàng rú xià wén jiàn
　　C:WINDOWSsystem32driversati32srv.sys
　　 zhù cè fú wù ATI2HDDSRV zhǐ xiàng ati32srv.sys bìng jiā zài zhè gè qū dòng gāi qū dòng kě yǐ huī fù xì tǒng de SSDT biǎo shǐ dé shā dú ruǎn jiàn de APIhook wán quán shī xiào ... hěn duō shā dú ruǎn jiàn de“ zhù dòng fáng yù” hé“ zì wǒ bǎo hù” gōng néng yě yīn cǐ shī xiào
　　4. diào yòng cmd.exe bǎ KvTrust.dll， UrlGuard.dll， antispy.dll， safemon.dll， ieprot.dll zhòng mìng míng wéi tmp%d.temp de gé shì
　　5. jié shù hěn duō 'ān quán ruǎn jiàn jìn chéng
　　 chéng xù dài mǎ
　　avp.com
　　avp.exe
　　runiep.exe
　　PFW.exe
　　FYFireWall.exe
　　rfwmain.exe
　　rfwsrv.exe
　　KAVPF.exe
　　KPFW32.exe
　　nod32kui.exe
　　nod32.exe
　　Navapsvc.exe
　　Navapw32.exe
　　avconsol.exe
　　webscanx.exe
　　NPFMntor.exe
　　vsstat.exe
　　KPfwSvc.exe
　　Ras.exe
　　RavMonD.exe
　　mmsk.exe
　　WoptiClean.exe
　　QQKav.exe
　　QQDoctor.exe
　　EGHOST.exe
　　360Safe.exe
　　iparmo.exe
　　adam.exe
　　IceSword.exe
　　360rpt.exe
　　360tray.exe
　　AgentSvr.exe
　　AppSvc32.exe
　　autoruns.exe
　　avgrssvc.exe
　　AvMonitor.exe
　　CCenter.exe
　　ccSvcHst.exe
　　FileDsty.exe
　　FTCleanerShell.exe
　　HijackThis.exe
　　Iparmor.exe
　　isPwdSvc.exe
　　kabaload.exe
　　KaScrScn.SCR
　　KASMain.exe
　　KASTask.exe
　　KAVDX.exe
　　KAVPFW.exe
　　KAVSetup.exe
　　KAVStart.exe
　　KISLnchr.exe
　　KMailMon.exe
　　KMFilter.exe
　　KPFW32.exe
　　KPFW32X.exe
　　KPFWSvc.exe
　　KRegEx.exe
　　KRepair.com
　　KsLoader.exe
　　KVCenter.kxp
　　KvDetect.exe
　　KvfwMcl.exe
　　KVMonXP.kxp
　　KVMonXP_1.kxp
　　kvol.exe
　　kvolself.exe
　　KvReport.kxp
　　KVScan.kxp
　　KVSrvXP.exe
　　KVStub.kxp
　　kvupload.exe
　　kvwsc.exe
　　KvXP.kxp
　　KvXP_1.kxp
　　KWatch.exe
　　KWatch9x.exe
　　KWatchX.exe
　　MagicSet.exe
　　mcconsol.exe
　　mmqczj.exe
　　KAV32.exe
　　nod32krn.exe
　　PFWLiveUpdate.exe
　　QHSET.exe
　　RavMonD.exe
　　RavStub.exe
　　RegClean.exe
　　rfwcfg.exe
　　RfwMain.exe
　　rfwsrv.exe
　　RsAgent.exe
　　Rsaupd.exe
　　safelive.exe
　　scan32.exe
　　shcfg32.exe
　　SmartUp.exe
　　SREng.EXE
　　symlcsvc.exe
　　SysSafe.exe
　　TrojanDetector.exe
　　Trojanwall.exe
　　TrojDie.kxp
　　UIHost.exe
　　UmxAgent.exe
　　UmxAttachment.exe
　　UmxCfg.exe
　　UmxFwHlp.exe
　　UmxPol.exe
　　UpLive.exe
　　procexp.exe
　　OllyDBG.EXE
　　OllyICE.EXE
　　rfwstub.exe
　　RegTool.exe
　　rfwProxy.exe
　　6. yìng xiàng jié chí jīhū shàng miàn suǒ yòu 'ān quán ruǎn jiàn zhǐ xiàng“ ntsd-d”
　　7. qǐ dòng IE jìn xíng xià zài gōng zuò， shǒu xiān huì dú qǔ http://xtx.×××.info/images/xin.txt bǐ jiào
　　 lǐ miàn de VERSION xìn xī rú guǒ fā xiàn bù shì zuì xīn bǎn běn zé xià zài zuì xīn bǎn běn jù yòu zì wǒ gēngxīn gōng néng
　　8. zhī hòu jì xù dú qǔ xià miàn de xià zài xìn xī xià zài mù mǎ
　　 mù qián xià zài de bìng dú dì zhǐ wéi
　　 chéng xù dài mǎ
　　http://2.×××.info/xm/aa1.exe~http://2.×××.info/xm/aa13.exehttp://444.××××××××.com/xm/aa14.exe~http://444.××××××××.com/xm/aa26.exe
　　 bìng dú mù mǎ zhí rù wán bì hòu de sreng rì zhì rú xià（ běn lì zhōng jūn jiǎ shè xì tǒng zhuāng zài C pán xià）
　　 qǐ dòng xiàng mù
　　 zhù cè biǎo
　　 chéng xù dài mǎ
　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
　　<WSockDrv32><C:WINDOWSdqyxis.exe>[]
　　<upxdnd><C:WINDOWSupxdnd.exe>[]
　　<LotusHlp><C:WINDOWSLotusHlp.exe>[]
　　<C:WINDOWSPTSShell.exe>[]
　　<SHAProc><C:WINDOWSSHAProc.exe>[]
　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
　　<kfzmwcnyi><kfzmwcnyi.exe>[]
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
　　<><C:WINDOWSsystem32JAA-JAA-1032.dll>[]
　　<><C:WINDOWSsystem32RAA_RAA_1002.dll>[]
　　<><C:WINDOWSFontsgjcsdyc.dll>[]
　　<><C:WINDOWSsystem32QAB_QAB_1011.dll>[]
　　<><C:WINDOWSsystem32IIA-IIA-1030.dll>[]
　　==================================
　　 qū dòng chéng xù
　　 chéng xù dài mǎ
　　[ATI2HDDSRV/ATI2HDDSRV][Running/ManualStart]
　　<??C:WINDOWSsystem32driversati32srv.sys><N/A>
　　[DeepFreeUpdate/DeepFreeUpdate][Stopped/ManualStart]
　　<??C:WINDOWSsystem32driverspcihdd2.sys><N/A>
　　[msskye/msskye][Running/AutoStart]
　　<system32driversmsaclue.sys><N/A>
　　==================================
　　 zhèng zài yùn xíng de jìn chéng
　　 chéng xù dài mǎ
　　[PID:1452][C:WINDOWSsystem32userinit.exe][N/A,]
　　[C:WINDOWSsystem32HDDGuard.dll][N/A,]
　　[PID:1472][C:windowsexplorer.exe][MicrosoftCorporation,6.00.2900.2180(xpsp_sp2_rtm.040803-2158)]
　　[C:WINDOWSsystem32JAA-JAA-1032.dll][N/A,]
　　[C:WINDOWSsystem32RAA_RAA_1002.dll][N/A,]
　　[C:WINDOWSFontsgjcsdyc.dll][N/A,]
　　[C:WINDOWSsystem32QAB_QAB_1011.dll][N/A,]
　　[C:WINDOWSsystem32IIA-IIA-1030.dll][N/A,]
　　[C:WINDOWSwlqirtuk.dll][N/A,]
　　[C:WINDOWSdcadmqws.dll][N/A,]
　　[C:WINDOWSsystem32upxdnd.dll][N/A,]
　　[C:WINDOWSsystem32WSockDrv32.dll][N/A,]
　　[C:WINDOWSsystem32LotusHlp.dll][N/A,]
　　[C:WINDOWSsystem32PTSShell.dll][N/A,]
　　[C:WINDOWSsystem32SHAProc.dll][N/A,]
　　[C:WINDOWSsystem32HDDGuard.dll][N/A,]
　　...
　　 bǔ chōng： netguy_updatefile.exe zài qǐ dòng xiàng lǐ tiān jiā netguy_updatefile.exe chéng xù， kāi jī xià bìng dú
　　 jī qì gǒu mù mǎ bìng dú jiè shào：
　　 jī qì gǒu mù mǎ bìng dú shì yòng yī gè C yǔ yán biān xiě de mù mǎ bìng dú。 bìng dú yùn xíng hòu huì shān chú xì tǒng mù lù xià de userinit.exe， bìng jiàn lì yī gè bāo hán bìng dú de userinit.exe， suí xì tǒng měi cì qǐ dòng shí jiā zài dào xì tǒng zhōng。 cǐ wén jiàn yùn xíng hòu huì zài xì tǒng de SOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions xià tiān jiā yī
　　 xì liè fǎn bìng dú ruǎn jiàn hé 'ān quán gōng jù de jiàn zhí， shǐ zhè xiē ruǎn jiàn hé gōng jù wú fǎ zhèng cháng yùn xíng。 lìng wài bìng dú hái huì cháng shì zhù rù IE jìn chéng tōng guò hù lián wǎng xià zài bìng dú de gēngxīn， dá dào duǒ bì chá shā yǔ zhēn cè de mùdì。
　　 jī qì gǒu bìng dú de pàn duàn fāng fǎ：
　　 fāng fǎ 1： dǎ kāi C:WINDOWSsystem32 wén jiàn jiā（ huò dǎ kāi xì tǒng duì yìng mù lù）， zhǎo dào userinit.exe、 explorer.exe diǎn jī yòu jiàn chá kàn wén jiàn de shǔ xìng， ruò zài shǔ xìng chuāng kǒu zhōng kàn bù dào wén jiàn de bǎn běn biāo qiān zé shuō míng gāi wén jiàn yǐ jīng bèi bìng dú tì huàn xì tǒng yǐ jīng rǎn dú。
　　 fāng fǎ 2： shuāng jī ruì xīng shā dú ruǎn jiàn de kuài jié fāng shì， yǐ jí kǎ kǎ shàng wǎng 'ān quán zhù shǒu de kuài jié fāng shì， méi yòu rèn hé fǎn yìng（ bù shì chuāng kǒu dǎ kāi hòu xùn sù guān bì huò bào cuò bēng kuì）。

jī qì gǒu mù mǎ zhuān shā gōng jù

　　bǎn běn： V5.2 bǎn　 dà xiǎo： 720KB　
　　 lì jí xià zài jī qì gǒu zhuān shā
　　 zhòngdú zhèng zhuàng：
　　 rú guǒ 360 wú fǎ dǎ kāi huò zhě dǎ kāi zhī hòu bèi guān bì , xì tǒng biàn de fēi cháng màn , xì tǒng shí jiān mò míng qí miào bèi gēnggǎi ." wǒ de diàn nǎo " de tú biāo bù zhèng què , shū rù fǎ wú fǎ dǎ kāi， shuō míng kě néng zhōng liǎo jī qì gǒu 。
　　 rú guǒ dǎ kāi C:WINDOWSsystem32 wén jiàn jiā（ rú guǒ nín de xì tǒng bù zài c pán 'ān zhuāng， qǐng zhǎo dào duì yìng de mù lù）， zhǎo dào userinit.exe、 explorer.exe、 ctfmon.exe、 conime.exe wén jiàn， diǎn jī yòu jiàn chá kàn shǔ xìng， rú guǒ zài shǔ xìng chuāng kǒu zhōng kàn bù dào wén jiàn de bǎn běn biāo qiān de huà， shuō míng yǐ jīng zhōng liǎo jī qì gǒu 。
　　 jī qì gǒu mù mǎ bìng dú jiǎn jiè：
　　 jī qì gǒu ， shì yī zhǒng bìng dú xià zài qì， tā kě yǐ gěi yòng hù de diàn nǎo xià zài dà liàng de mù mǎ、 bìng dú、 è yì ruǎn jiàn、 chā jiàn děng。 yī dàn zhōng zhāo， yòng hù de diàn nǎo biàn suí shí kě néng gǎn rǎn rèn hé mù mǎ、 bìng dú， zhè xiē mù mǎ bìng dú huì fēng kuáng dì dào yòng yòng hù de yǐn sī zī liào（ rú zhàng hào mì mǎ、 sī mì wén jiàn děng）， yě huì pò huài cāo zuò xì tǒng， shǐ yòng hù de jī qì wú fǎ zhèng cháng yùn xíng， tā hái kě yǐ tōng guò nèi bù wǎng luò chuán bō、 xià zài U pán bìng dú hé Arp gōng jī bìng dú， néng yǐn fā zhěng gè wǎng luò de diàn nǎo quán bù zì dòng zhòng qǐ。 duì yú wǎng bā 'ér yán， jī qì gǒu jiù shì jiàn zhǐ wǎng bā 'ér lái， zhēn duì suǒ yòu de hái yuán chǎn pǐn shè jì， qí pò huài lì kě néng huì hěn kuài huì chāo guò xióng māo shāo xiāng。
　　 jī qì gǒu gōng zuò yuán lǐ：
　　 jī qì gǒu gōng zuò yuán lǐ： jī qì gǒu běn shēn huì shì fàng chū yī gè pcihdd.sys dào drivers mù lù， pcihdd.sys shì yī gè dǐ céng yìng pán qū dòng， tí gāo zì jǐ de yōu xiān jí jiē tì hái yuán kǎ huò bīng diǎn de yìng pán qū dòng， rán hòu fǎng wèn zhǐ dìng de wǎng zhǐ， zhè xiē wǎng zhǐ zhǐ yào lián jiē jiù huì zì dòng xià zài dà liàng de bìng dú yǔ 'è yì chā jiàn。
　　 biàn xíng jīn gāng： jī qì gǒu （ ravage）
　　 dòng huàpiān hé zhēn rén bǎn diàn yǐng zhōng dū shì yóu shēng bō shēn shàng fēn jiě chū lái de bà tiān hǔ。
　　 yōu diǎn： tǐ xíng xiǎo， shì hé yǔ zhēn chá huó dòng。
　　 quē diǎn： yóu yú tǐ xíng yuán yīn， gōng jī lì bìng bù qiáng。
　　 biàn xíng： cí dài
　　《 zhēn rén bǎn biàn xíng jīn gāng》 jī qì gǒu
　　 yóu shēng bō pài qù qiè qǔ“ cháo xué” jī dì lǐ de huǒ zhǒng yuán suì piàn， bìng zhǎo dào qí tā bà tiān hǔ qù huàn xǐng sǐ qù de wēi zhèn tiān。
　　 zhēn rén bǎn diàn yǐng jī qì gǒu ：
　　 cóng wù lǐ shàng gēn běn jiě jué jī qì gǒu bìng dú .
　　 tōng guò shā dú ruǎn jiàn de fāng fǎ fáng yù jī qì gǒu bìng dú , kě yǐ shuō shì zhì biāo bù zhì běn de . yīn wéi shā ruǎn shēng jí , bìng dú yě huì shēng jí , yīn cǐ xū yào wú xiū zhǐ de dǎ bǔ dīng , duì yú
　　 duō diàn nǎo de jì suàn jī jī fáng lái shuō , wú yí de dài lái liǎo jù dà de gōng zuò liàng . yīn cǐ tōng guò chún yìng jiàn de fāng shì lái jiě jué jī qì gǒu bìng dú , shì zuì gēn běn de , cóng wù lǐ shàng jiě jué jī qì gǒu bìng dú de fāng fǎ . luó ji yǔ wù lǐ de qū bié jiù zài yǔ cǐ . lán xìn fáng dú kǎ de yán fā chéng gōng , duì jiě jué jī qì gǒu bìng dú , kě yǐ shuō shì qǐ dào de jù dà gòng xiàn , tū pò liǎo yuán yòu de chuán tǒng de bǎo hù kǎ jì shù , tōng guò zuì jī běn de dǐ céng rù shǒu , yìng pán shù jù xiàn zhí jiē lián dào kǎ shàng , zhí jiē jiē guǎn yìng pán , ràng shòu dào bǎo hù de fēn qū de shù jù miǎn shòu gè zhǒng yǐ zhī de bìng dú ( bāo kuò jī qì gǒu bìng dú ) huò wèi zhī bìng dú de qīn rǎo。
　　 jī qì gǒu bìng dú yě shì yī zhǒng ruǎn jiàn 'ér yǐ， ér wǒ men shì yìng pán wù lǐ shàng de zuì hòu yī dào mén， suǒ yǐ， bù lùn bìng dú jì shù rú hé gǎi jìn， yào pò huài shù jù dōubù dé bù tōng guò zhè zuì hòu yī dào mén。 ér zhè dào mén yòu zài wǒ men de zhǎng wò zhōng， suǒ yǐ， wèi zhī de bìng dú zhǐ yào hái shì ruǎn jiàn jiù wú fǎ pò huài。

xiàngguāncí

shè qū	jī qì rén	mǔ yīng	chǒng wù quǎn	pnp	wú pán	wǎng bā	yòu pán
bìng dú	mù mǎ	ruǎn jiàn

bāo hán cí

jī qì gǒu bìng dú	jī qì gǒu mù mǎ	jī qì gǒu biàn zhǒng
jī qì gǒu rú chóng	jūn shì yòng tú de jī qì gǒu	jì suàn jī bìng dú jī qì gǒu
jī qì gǒu wèn tí jí huí dá	MIDI jī qì gǒu	“ jī qì gǒu ” wèn tí jí huí dá
jì suàn jī bìng dú“ jī qì gǒu ”	jūn shì yòng tú de“ jī qì gǒu ”	“ jī qì gǒu” biàn zhǒng
cóng wù lǐ shàng gēn běn jiě jué jī qì gǒu bìng dú