一个批处理杀毒系统 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛一个批处理杀毒系统

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] 一个批处理杀毒系统

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2008-07-06 16:12 \| 只看楼主短消息资料字号：小中大 1楼一个批处理杀毒系统相信很多中过病毒的朋友都见过, 每各盘符下有一个AUTORUN.INF和一个EXE隐藏并且不好删除，甚至有的盘会打不开它们是病毒再生的源泉,也是U盘病毒的主要手段自动播放，双击盘后运行的不是EXPLORER，而是AUTORUN.INF文件里定义的EXE程序现在我们制作免疫的批处理首先是要保证你没有感染AUTORUN内容，即在安全地情况下进行建立一个文本文件，输入以下内容 @echo off 　　taskkill /im explorer.exe /f 　　for %%a in (D E F G H I J K L M N O P Q R S T U V W X Y Z) do @( 　　if exist %%a: ( 　　rd %%a:\autorun.inf /s /q 　　del %%a:\autorun.inf /f /q 　　mkdir %%a:\autorun.inf 　　mkdir %%a:\autorun.inf\"AUTORUN病毒免疫勿删除../" 　　attrib +h +r +s %%a:\autorun.inf 　　) 　　) start explorer.exe 保存或另存为"免疫.bat" 双击运行即可，这个免疫文件夹删除不掉了就，而且WINDOWS会提示是无用文件，不要删除即可(没实验过它能不能清) 如果怀疑机器有毒，在文件夹选项里选不了显示所有文件，以及去不掉隐藏系统文件说明病毒用这个方式的可能很高因为这样我们只能在CMD下看到因藏的文件下面再附上一个删除AUTORUN.INF和简单根目录EXE病毒的批处理：　 @echo off 　　taskkill /im explorer.exe /f 　　for %%a in (D E F G H I J K L M N O P Q R S T U V W X Y Z) do @( 　　if exist %%a: ( 　　attrib %%a:\autorun.inf -s -h -r 　　del %%a:\autorun.inf /f /q attrib %%a:\病毒.exe -s -h -r 　　del %%a:\病毒.exe /f /q 　　) 　　) start explorer.exe 保存为BAT格式，病毒.exe这个根据自己需要去修改,SYS格式的只要没有病毒进程在运行，也可以删除，运行即可删除它们这些小虫子如果这些搞定了，我们可以进一步深入组建一个微型自动杀毒系统（黑体之间的写在文件里）建立批处理 CORE.BAT @echo off :user @REM [用户扫描，使用“目录列表.txt"] @REM [--------------------------结束病毒列表中的进程------------------------] for /f "eol=;" %%i in (列表.txt) do taskkill /f /t /im %%i @REM [结束病毒列表中的进程，使用"列表.txt"] for /f "eol=;" %%i in (列表.txt) do taskkill /f /t /im %%i @REM [更改病毒文件属性，删除病毒文件] for /f "eol=;" %%j in (目录列表.txt) do for /f %%i in (列表.txt) do attrib %%j\%%i -s -h -r for /f "eol=;" %%j in (目录列表.txt) do for /f %%i in (列表.txt) do del %%j\%%i GOTO exit :exit @REM 退出 echo GoodBye`~~ pause 建立扫描日志批处理 scan.bat @ECHO OFF Call CORE.bat >>log.txt @echo OK 建立目录列表.txt ;目录列表，可以自己删改，添加目录，按下边的格式，此行是注释 C: C:\WINDOWS C:\windows\system C:\windows\system32 C:\WINDOWS\Driver Cache\i386 D: E: F: I: J: G: H: 建立列表txt ;病毒文件列表，可以自己添加文件名，不要加任何符号，此行是注释 spoclsv.exe yyjnldu.exe new.sys ***注意：列表里你可以把一个病毒的驱动,EXE文件,DLL文件都写上，这样成功清除机会更大附件中的系统进程可以用来排查可疑进程，安全风险列表可疑当病毒库添加到我们建立的列表中有些病毒会起一些迷惑性的名称或者干脆和系统程序名称一样，但是目录不同，需要用组策略或HIPS来限制对于替换系统文件的病毒，没有主动防御系统，着了道的话，就不太好手杀有了主动防御，最好还要一个MD5或者，数字签名验证程序来辅助我们手动杀毒用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; TheWorld)* 附件: 文件名:SYSTEM进程DLL列表.txt 下载次数:233 文件类型:text/plain 文件大小: 上传时间:2008-7-6 16:12:12 描述:txt 附件: 文件名:存在安全风险进程列表.txt 下载次数:270 文件类型:text/plain 文件大小: 上传时间:2008-7-6 16:12:12 描述:txt 附件: 文件名:系统进程列表.rar 下载次数:251 文件类型:application/octet-stream 文件大小: 上传时间:2008-7-6 16:12:12 描述:rar 附件: 文件名:a8a9.rar 下载次数:605 文件类型:application/octet-stream 文件大小: 上传时间:2008-7-9 16:07:17 描述:验证系统程序天云一剑最后编辑于 2008-07-09 16:07:17
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	分享到：

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT