杀传奇私服外挂rootkit的脚本,原理很简单就是操纵注册表的,针对释放驱动到sysroot下而且其没注册的Cmpcallback或者没针对键值修改做保护,上代码,啰嗦版本有注释一看就明白

扯蛋啰嗦版本

# -*- coding:utf-8 -*-
import glob
import os
import ctypes
from _winreg import *#获取当前程序所在路径
currentpath1 = os.getcwd()
currentpath2 = '现在程序所在的路径为 :'+ currentpath1
print currentpath2.decode("utf-8")#遍历所有可疑文件f = glob.glob('C:\Windows' + '\\*.sys')
print ('检测到 C:\Windows 目录下的可疑文件如下').decode("utf-8")#判断有多少个驱动文件并删除没有加载的驱动for i, file in enumerate(f) :#枚举路径filename = os.path.basename(file)sysrootpath2 = 'C:\\Windows\\' + filename#print i, filename#尝试删除驱动文件try:os.remove(sysrootpath2)print ('删除文件').decode("utf-8") + filename + ('成功').decode("utf-8")except:print ('有可疑驱动正在运行无法直接删除').decode("utf-8")#if i==0:
#    print ('只有一个可疑文件').decode("utf-8")
#else:
#    print ('存在多个可疑驱动文件并已经删除外挂驱动外的其他可疑驱动文件').decode("utf-8")#确认外挂驱动名
#virusf = glob.glob('C:\Windows' + '\\*.sys')
#for filewg in virusf :
#    wdfilename = os.path.basename(filewg)
#realwgfilename = wdfilename[0:-4]
#print ('重新定位外挂驱动文件:').decode("utf-8")
#print (wdfilename)virusf = glob.glob('C:\Windows' + '\\*.sys')
sysfilenamelist = []
for filewg in virusf :print filewgreadywdfilename = os.path.basename(filewg)sysfilenamelist.append(readywdfilename)print sysfilenamelist
try:sysfilenamelist.remove('pagefile.sys')print 'del pagefile.sys successed'
except:print 'del pagefile.sys failed'print sysfilenamelist
wdfilename = sysfilenamelist[0]
realwgfilename = wdfilename[0:-4]#修改外挂驱动注册表键值
Start = 'Start'
try:regpath1 = 'SYSTEM\\ControlSet001\\services' + '\\' + realwgfilenamereg1 = OpenKey(HKEY_LOCAL_MACHINE, regpath1, 0, KEY_WRITE)SetValueEx (reg1, Start, 0, REG_DWORD, 4)CloseKey(reg1)print ('处理ControlSet001成功').decode("utf-8")
except:print ('处理ControlSet001出错').decode("utf-8")try:regpath2 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg2 = OpenKey(HKEY_LOCAL_MACHINE, regpath2, 0, KEY_WRITE)SetValueEx (reg2, Start, 0, REG_DWORD, 4)CloseKey(reg2)print ('处理ControlSet002成功').decode("utf-8")
except:print ('处理ControlSet002出错').decode("utf-8")try:       regpath3 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg3 = OpenKey(HKEY_LOCAL_MACHINE, regpath3, 0, KEY_WRITE)SetValueEx (reg3, Start, 0, REG_DWORD, 4)CloseKey(reg3)print ('处理ControlSet003成功').decode("utf-8")
except:print ('处理ControlSet003出错或者项目不存在').decode("utf-8")try:      regpath4 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg4 = OpenKey(HKEY_LOCAL_MACHINE, regpath4, 0, KEY_WRITE)SetValueEx (reg4, Start, 0, REG_DWORD, 4)CloseKey(reg4)print ('处理ControlSet004成功').decode("utf-8")
except:print ('处理ControlSet002出错或者项目不存在').decode("utf-8")#delete key
#regpath2 = 'SYSTEM\\CurrentControlSet\\services'
#reg2 = OpenKey(HKEY_LOCAL_MACHINE, regpath2, res=0, sam=KEY_WRITE)
#DeleteKey(reg2, filename2)
#chinesedisplay2 = '已经禁止病毒自启动,现在请直接拔掉电源线使电脑直接断电,等5秒后插上重启'
#print chinesedisplay2.decode("utf-8")
#print isinstance(filename2, basestring)print ('''操作尚未完成,不要点关机或者重启!
先关掉并退出所有程序,然后直接拔掉电源线使电脑直接断电!
等5秒后插上重启''').decode("utf-8")ctypes.windll.user32.MessageBoxW(0, u'关掉并退出所有程序,直接拔掉电源线使电脑直接断电', u'操作提示',0)

短小精悍版本

# -*- coding:utf-8 -*-
import glob
import os
import ctypes
from _winreg import *currentpath1 = os.getcwd()currentpath2 = '现在程序所在的路径为 :'+ currentpath1
print currentpath2.decode("utf-8")f = glob.glob('C:\Windows' + '\\*.sys')
print ('检测到 C:\Windows 目录下的可疑文件如下').decode("utf-8")for i, file in enumerate(f) :filename = os.path.basename(file)sysrootpath2 = 'C:\\Windows\\' + filenametry:os.remove(sysrootpath2)print ('删除文件').decode("utf-8") + filename + ('成功').decode("utf-8")except:print ('有可疑驱动正在运行无法直接删除').decode("utf-8")virusf = glob.glob('C:\Windows' + '\\*.sys')
sysfilenamelist = []
for filewg in virusf :print filewgreadywdfilename = os.path.basename(filewg)sysfilenamelist.append(readywdfilename)print sysfilenamelist
try:sysfilenamelist.remove('pagefile.sys')print 'del pagefile.sys successed'
except:print 'del pagefile.sys failed'print sysfilenamelist
wdfilename = sysfilenamelist[0]
realwgfilename = wdfilename[0:-4]Start = 'Start'
try:regpath1 = 'SYSTEM\\ControlSet001\\services' + '\\' + realwgfilenamereg1 = OpenKey(HKEY_LOCAL_MACHINE, regpath1, 0, KEY_WRITE)SetValueEx (reg1, Start, 0, REG_DWORD, 4)CloseKey(reg1)print ('处理ControlSet001成功').decode("utf-8")
except:print ('处理ControlSet001出错').decode("utf-8")try:regpath2 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg2 = OpenKey(HKEY_LOCAL_MACHINE, regpath2, 0, KEY_WRITE)SetValueEx (reg2, Start, 0, REG_DWORD, 4)CloseKey(reg2)print ('处理ControlSet002成功').decode("utf-8")
except:print ('处理ControlSet002出错').decode("utf-8")try:       regpath3 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg3 = OpenKey(HKEY_LOCAL_MACHINE, regpath3, 0, KEY_WRITE)SetValueEx (reg3, Start, 0, REG_DWORD, 4)CloseKey(reg3)print ('处理ControlSet003成功').decode("utf-8")
except:print ('处理ControlSet003出错或者项目不存在').decode("utf-8")try:      regpath4 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg4 = OpenKey(HKEY_LOCAL_MACHINE, regpath4, 0, KEY_WRITE)SetValueEx (reg4, Start, 0, REG_DWORD, 4)CloseKey(reg4)print ('处理ControlSet004成功').decode("utf-8")
except:print ('处理ControlSet002出错或者项目不存在').decode("utf-8")print ('''操作尚未完成,不要点关机或者重启!
先关掉并退出所有程序,然后直接拔掉电源线使电脑直接断电!
等5秒后插上重启''').decode("utf-8")ctypes.windll.user32.MessageBoxW(0, u'关掉并退出所有程序,直接拔掉电源线使电脑直接断电', u'操作提示',0)

专杀工具源码 V1.5相关推荐

  1. 最新轻量级PHP在线解密工具源码V1.2版

    正文: 最新轻量级PHP在线解密工具源码V1.2版,在线可解: 部分goto.PHPJiaMi.Enphp.vidun.phpdp(神盾).tianyiw,无数据库,上传程序到服务器,访问域名就可以用 ...

  2. linux系统 网站木马后门Webshell查杀工具源码

    后门这东西好让人头疼,第一文件太多了,不容易找,第二,难找,需要特征匹配啊.搞了一个python版查杀php webshell后门工具,大家可以增加后门的特征码,然后甩到后台给他查杀就可以了.适合Li ...

  3. Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程

    Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程                                                         ...

  4. 仿制金山毒霸专杀工具界面实现源码

    网上有仿制金山毒霸专杀工具界面的实现方法,详见http://www.vckbase.com/module/articleContent.php?id=306 但却没有完整的实现源码,这次我认真了,花了 ...

  5. 超级巡警熊猫烧香之金猪报喜专杀工具v1.8下载

    DSWLAB 出品(dswlab@gmail.com)本工具实现检测和清除.修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前众多熊猫烧香病毒家族和相关变种,清除后的文件 ...

  6. 程序之家系列教程之手把手教你写熊猫烧香病毒专杀工具

    (作者:chenhui530,论坛 http://chenhui530.com ) 前言       经过去年和熊猫烧香.威金等病毒的"斗争",我也累了,"程序之家病毒专 ...

  7. 最新Viking(维金)病毒专杀工具,纯VB编写。(升级版)

    维金的泛滥愈演愈烈,10月份发布了几个专杀工具帮助千百万计的用户脱离苦海,近日又接到了很多用户发来的维金病毒报告邮件,没想到这个病毒比原来更猖獗了.原来的工具源码在一次意外中丢失,这次又狠下心重新编写 ...

  8. thinkphp超简图床源码V1.0

    介绍: 超简图床源码V1.0基于ThinPhP5.1开发,实现的一套Api图床程序. 程序源码优点: 无数据库模式,简单配置,一键搭建 第三方接口接入,不占用服务器空间 接入搜狗Api平台,无需配置, ...

  9. html仿云桌面,仿电脑桌面的云端桌面HTML源码 v1.0

    下面我们对仿电脑桌面的云端桌面HTML源码 v1.0文件阐述相关使用资料和仿电脑桌面的云端桌面HTML源码 v1.0文件的更新信息. 仿电脑桌面的云端桌面HTML源码 v1.0 这是一套纯静态的htm ...

最新文章

  1. Java中取两位小数
  2. LLYFSpy W.I.P
  3. golang 随机数 math/rand包 crypto/rand包
  4. Python编程语言学习:python中与数字相关的函数(取整等)、案例应用之详细攻略
  5. git tag和branch的区别
  6. 好用的一些 git 命令
  7. java.util.concurrent包(2)——线程池
  8. java调用python机器学习模型的坑
  9. 毕设过程小记—同步带传动选型计算+张紧机构
  10. 如何注册CSDN博客
  11. 南信大 计算机与软件学院 校花,美哭了!南京12所高校最美“校花”新鲜出炉!颜值爆表!你的母校上榜了吗?...
  12. Docker之LNMP分布式容器部署
  13. 各种深度摄像头的使用经验粗谈
  14. 用Unison实现数据的双向实时同步
  15. 汉字风格迁移篇---MF-NET一种新颖的少镜头风格化多语言字体生成
  16. QT实现的自定义按键精灵
  17. 关于死亡最温暖的解答
  18. 百度搜狗违规屏蔽关键词批量过滤工具
  19. 看到记忆的印迹:神经科学家们如何定位、唤醒甚至偷换记忆
  20. python字典的使用

热门文章

  1. 计算机组成运算器原理实验报告,计算机组成原理运算器实验报告
  2. 设置html在哪里,HTML行间距在哪里设置?
  3. android 获取sd卡目录失败_Android正确获取SD卡目录及使用SD卡目录
  4. [pwn]gdb-peda调试
  5. 火车头内容采集规则之【C#代码】数字序号递增
  6. 2022年流动式起重机司机特种作业证考试题库及答案
  7. 显控触摸屏做主站,显控PLC做从站 Modbus RTU通讯
  8. 国务院振兴东北办主任介绍振兴规划发布会(要点)(图)
  9. python爬取客流数据_爬取首都机场客流量数据,从GIS的角度尝试分析建设大兴机场的必要性...
  10. semantic ui html5,Semantic UI :安装 Semantic UI