专杀工具源码 V1.5
杀传奇私服外挂rootkit的脚本,原理很简单就是操纵注册表的,针对释放驱动到sysroot下而且其没注册的Cmpcallback或者没针对键值修改做保护,上代码,啰嗦版本有注释一看就明白
扯蛋啰嗦版本
# -*- coding:utf-8 -*-
import glob
import os
import ctypes
from _winreg import *#获取当前程序所在路径
currentpath1 = os.getcwd()
currentpath2 = '现在程序所在的路径为 :'+ currentpath1
print currentpath2.decode("utf-8")#遍历所有可疑文件f = glob.glob('C:\Windows' + '\\*.sys')
print ('检测到 C:\Windows 目录下的可疑文件如下').decode("utf-8")#判断有多少个驱动文件并删除没有加载的驱动for i, file in enumerate(f) :#枚举路径filename = os.path.basename(file)sysrootpath2 = 'C:\\Windows\\' + filename#print i, filename#尝试删除驱动文件try:os.remove(sysrootpath2)print ('删除文件').decode("utf-8") + filename + ('成功').decode("utf-8")except:print ('有可疑驱动正在运行无法直接删除').decode("utf-8")#if i==0:
# print ('只有一个可疑文件').decode("utf-8")
#else:
# print ('存在多个可疑驱动文件并已经删除外挂驱动外的其他可疑驱动文件').decode("utf-8")#确认外挂驱动名
#virusf = glob.glob('C:\Windows' + '\\*.sys')
#for filewg in virusf :
# wdfilename = os.path.basename(filewg)
#realwgfilename = wdfilename[0:-4]
#print ('重新定位外挂驱动文件:').decode("utf-8")
#print (wdfilename)virusf = glob.glob('C:\Windows' + '\\*.sys')
sysfilenamelist = []
for filewg in virusf :print filewgreadywdfilename = os.path.basename(filewg)sysfilenamelist.append(readywdfilename)print sysfilenamelist
try:sysfilenamelist.remove('pagefile.sys')print 'del pagefile.sys successed'
except:print 'del pagefile.sys failed'print sysfilenamelist
wdfilename = sysfilenamelist[0]
realwgfilename = wdfilename[0:-4]#修改外挂驱动注册表键值
Start = 'Start'
try:regpath1 = 'SYSTEM\\ControlSet001\\services' + '\\' + realwgfilenamereg1 = OpenKey(HKEY_LOCAL_MACHINE, regpath1, 0, KEY_WRITE)SetValueEx (reg1, Start, 0, REG_DWORD, 4)CloseKey(reg1)print ('处理ControlSet001成功').decode("utf-8")
except:print ('处理ControlSet001出错').decode("utf-8")try:regpath2 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg2 = OpenKey(HKEY_LOCAL_MACHINE, regpath2, 0, KEY_WRITE)SetValueEx (reg2, Start, 0, REG_DWORD, 4)CloseKey(reg2)print ('处理ControlSet002成功').decode("utf-8")
except:print ('处理ControlSet002出错').decode("utf-8")try: regpath3 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg3 = OpenKey(HKEY_LOCAL_MACHINE, regpath3, 0, KEY_WRITE)SetValueEx (reg3, Start, 0, REG_DWORD, 4)CloseKey(reg3)print ('处理ControlSet003成功').decode("utf-8")
except:print ('处理ControlSet003出错或者项目不存在').decode("utf-8")try: regpath4 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg4 = OpenKey(HKEY_LOCAL_MACHINE, regpath4, 0, KEY_WRITE)SetValueEx (reg4, Start, 0, REG_DWORD, 4)CloseKey(reg4)print ('处理ControlSet004成功').decode("utf-8")
except:print ('处理ControlSet002出错或者项目不存在').decode("utf-8")#delete key
#regpath2 = 'SYSTEM\\CurrentControlSet\\services'
#reg2 = OpenKey(HKEY_LOCAL_MACHINE, regpath2, res=0, sam=KEY_WRITE)
#DeleteKey(reg2, filename2)
#chinesedisplay2 = '已经禁止病毒自启动,现在请直接拔掉电源线使电脑直接断电,等5秒后插上重启'
#print chinesedisplay2.decode("utf-8")
#print isinstance(filename2, basestring)print ('''操作尚未完成,不要点关机或者重启!
先关掉并退出所有程序,然后直接拔掉电源线使电脑直接断电!
等5秒后插上重启''').decode("utf-8")ctypes.windll.user32.MessageBoxW(0, u'关掉并退出所有程序,直接拔掉电源线使电脑直接断电', u'操作提示',0)
短小精悍版本
# -*- coding:utf-8 -*-
import glob
import os
import ctypes
from _winreg import *currentpath1 = os.getcwd()currentpath2 = '现在程序所在的路径为 :'+ currentpath1
print currentpath2.decode("utf-8")f = glob.glob('C:\Windows' + '\\*.sys')
print ('检测到 C:\Windows 目录下的可疑文件如下').decode("utf-8")for i, file in enumerate(f) :filename = os.path.basename(file)sysrootpath2 = 'C:\\Windows\\' + filenametry:os.remove(sysrootpath2)print ('删除文件').decode("utf-8") + filename + ('成功').decode("utf-8")except:print ('有可疑驱动正在运行无法直接删除').decode("utf-8")virusf = glob.glob('C:\Windows' + '\\*.sys')
sysfilenamelist = []
for filewg in virusf :print filewgreadywdfilename = os.path.basename(filewg)sysfilenamelist.append(readywdfilename)print sysfilenamelist
try:sysfilenamelist.remove('pagefile.sys')print 'del pagefile.sys successed'
except:print 'del pagefile.sys failed'print sysfilenamelist
wdfilename = sysfilenamelist[0]
realwgfilename = wdfilename[0:-4]Start = 'Start'
try:regpath1 = 'SYSTEM\\ControlSet001\\services' + '\\' + realwgfilenamereg1 = OpenKey(HKEY_LOCAL_MACHINE, regpath1, 0, KEY_WRITE)SetValueEx (reg1, Start, 0, REG_DWORD, 4)CloseKey(reg1)print ('处理ControlSet001成功').decode("utf-8")
except:print ('处理ControlSet001出错').decode("utf-8")try:regpath2 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg2 = OpenKey(HKEY_LOCAL_MACHINE, regpath2, 0, KEY_WRITE)SetValueEx (reg2, Start, 0, REG_DWORD, 4)CloseKey(reg2)print ('处理ControlSet002成功').decode("utf-8")
except:print ('处理ControlSet002出错').decode("utf-8")try: regpath3 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg3 = OpenKey(HKEY_LOCAL_MACHINE, regpath3, 0, KEY_WRITE)SetValueEx (reg3, Start, 0, REG_DWORD, 4)CloseKey(reg3)print ('处理ControlSet003成功').decode("utf-8")
except:print ('处理ControlSet003出错或者项目不存在').decode("utf-8")try: regpath4 = 'SYSTEM\\ControlSet002\\services' + '\\' + realwgfilenamereg4 = OpenKey(HKEY_LOCAL_MACHINE, regpath4, 0, KEY_WRITE)SetValueEx (reg4, Start, 0, REG_DWORD, 4)CloseKey(reg4)print ('处理ControlSet004成功').decode("utf-8")
except:print ('处理ControlSet002出错或者项目不存在').decode("utf-8")print ('''操作尚未完成,不要点关机或者重启!
先关掉并退出所有程序,然后直接拔掉电源线使电脑直接断电!
等5秒后插上重启''').decode("utf-8")ctypes.windll.user32.MessageBoxW(0, u'关掉并退出所有程序,直接拔掉电源线使电脑直接断电', u'操作提示',0)
专杀工具源码 V1.5相关推荐
- 最新轻量级PHP在线解密工具源码V1.2版
正文: 最新轻量级PHP在线解密工具源码V1.2版,在线可解: 部分goto.PHPJiaMi.Enphp.vidun.phpdp(神盾).tianyiw,无数据库,上传程序到服务器,访问域名就可以用 ...
- linux系统 网站木马后门Webshell查杀工具源码
后门这东西好让人头疼,第一文件太多了,不容易找,第二,难找,需要特征匹配啊.搞了一个python版查杀php webshell后门工具,大家可以增加后门的特征码,然后甩到后台给他查杀就可以了.适合Li ...
- Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程
Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程 ...
- 仿制金山毒霸专杀工具界面实现源码
网上有仿制金山毒霸专杀工具界面的实现方法,详见http://www.vckbase.com/module/articleContent.php?id=306 但却没有完整的实现源码,这次我认真了,花了 ...
- 超级巡警熊猫烧香之金猪报喜专杀工具v1.8下载
DSWLAB 出品(dswlab@gmail.com)本工具实现检测和清除.修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前众多熊猫烧香病毒家族和相关变种,清除后的文件 ...
- 程序之家系列教程之手把手教你写熊猫烧香病毒专杀工具
(作者:chenhui530,论坛 http://chenhui530.com ) 前言 经过去年和熊猫烧香.威金等病毒的"斗争",我也累了,"程序之家病毒专 ...
- 最新Viking(维金)病毒专杀工具,纯VB编写。(升级版)
维金的泛滥愈演愈烈,10月份发布了几个专杀工具帮助千百万计的用户脱离苦海,近日又接到了很多用户发来的维金病毒报告邮件,没想到这个病毒比原来更猖獗了.原来的工具源码在一次意外中丢失,这次又狠下心重新编写 ...
- thinkphp超简图床源码V1.0
介绍: 超简图床源码V1.0基于ThinPhP5.1开发,实现的一套Api图床程序. 程序源码优点: 无数据库模式,简单配置,一键搭建 第三方接口接入,不占用服务器空间 接入搜狗Api平台,无需配置, ...
- html仿云桌面,仿电脑桌面的云端桌面HTML源码 v1.0
下面我们对仿电脑桌面的云端桌面HTML源码 v1.0文件阐述相关使用资料和仿电脑桌面的云端桌面HTML源码 v1.0文件的更新信息. 仿电脑桌面的云端桌面HTML源码 v1.0 这是一套纯静态的htm ...
最新文章
- Java中取两位小数
- LLYFSpy W.I.P
- golang 随机数 math/rand包 crypto/rand包
- Python编程语言学习:python中与数字相关的函数(取整等)、案例应用之详细攻略
- git tag和branch的区别
- 好用的一些 git 命令
- java.util.concurrent包(2)——线程池
- java调用python机器学习模型的坑
- 毕设过程小记—同步带传动选型计算+张紧机构
- 如何注册CSDN博客
- 南信大 计算机与软件学院 校花,美哭了!南京12所高校最美“校花”新鲜出炉!颜值爆表!你的母校上榜了吗?...
- Docker之LNMP分布式容器部署
- 各种深度摄像头的使用经验粗谈
- 用Unison实现数据的双向实时同步
- 汉字风格迁移篇---MF-NET一种新颖的少镜头风格化多语言字体生成
- QT实现的自定义按键精灵
- 关于死亡最温暖的解答
- 百度搜狗违规屏蔽关键词批量过滤工具
- 看到记忆的印迹:神经科学家们如何定位、唤醒甚至偷换记忆
- python字典的使用
热门文章
- 计算机组成运算器原理实验报告,计算机组成原理运算器实验报告
- 设置html在哪里,HTML行间距在哪里设置?
- android 获取sd卡目录失败_Android正确获取SD卡目录及使用SD卡目录
- [pwn]gdb-peda调试
- 火车头内容采集规则之【C#代码】数字序号递增
- 2022年流动式起重机司机特种作业证考试题库及答案
- 显控触摸屏做主站,显控PLC做从站 Modbus RTU通讯
- 国务院振兴东北办主任介绍振兴规划发布会(要点)(图)
- python爬取客流数据_爬取首都机场客流量数据,从GIS的角度尝试分析建设大兴机场的必要性...
- semantic ui html5,Semantic UI :安装 Semantic UI