我认为的IGM防穿透的办法

juewu19

在网上看了那么多文章，大多的意思都是说机器狗只能穿透userinit.exe文件！用userinit.exe生成下马器，每次开机下马，我所见过进程中带木马的机子在断网后重启，只有userinit.exe和他所生成的usrinit.exe文件在运行，而那些木马程序在进程中都不存在了!所以机器狗是通过一种方法使各种还原产品发觉不到他对userinit.exe进行了修改!什么IGM都是由userinit.exe下载下来的!
而且因为userinit.exe是进入系统后必不可少的运行程序，为了防止有人改动注册表和文件名，现在的狗变种都是从注册表读到userinit.exe的位置的!
所以我认为一般只要在开机批处理里把userinit.exe改成别的名字，如userinit.txt,再从服务器上复制个userinit.exe下来就可以防狗了!因为你复制的那个userinit.exe不是机器上原始的，中不中狗都会在重启后被删除!当然不复制userinit.exe也行，不过那会使你不能注销!
强者的批处理很有效，干净的机子只要开机运行了就不会中，但是不能注销，不能解还原就是因为少了个userinit.exe，他那批处理中对注册表的修改是无效的，所以完全可以把@reg那两行删除，再加一行复制userinit.exe命令!
这是个人见解，大家可以尝试下在干净可还原的机子上运行批处理后，再运行机器狗的各种变种重启后看会不会穿透!如有不足，请多指教!
中国人说“以夷制夷”，外国人说“以华制华”，我说这叫"以骗制骗"!
木马的名字会千变万化，防不胜防，一个木马，传播者可以一天改一个名，驱动级的防疫就比较被动了!毕竟你那是禁止进程名，而有的进程名你一禁就会有很大影响，如： setup.exe,这个可以从根本上解决!除非以后木马可以穿透另一个新的文件名!而现在木马只能穿透一个，只要木马找不到原始文件的真始位置就不怕了!顶多当时中毒，重启后就没了!


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u1/59939/showart_477063.html