在带马的安装包启动时,自动释放出鸽子并且改名成3.tmp在临时目录运行,再释放出真正的安装包为2.tmp在临时目录运行,只要我们复制出2.tmp并且改名为2.exe就能够得当纯净版本的游戏 其中2.exe就是纯净版本的游戏,awareness.exe就是马,我们的工作顺利完成了。
总结一下,利用icesword我们能够轻易的发现问题,让这里的捆绑马的人显出原形
如果你有什么文件值得怀疑,那么可以在icesword的监控中运行,然后就能够轻易的发现是不是存在问题,这种方法比filemon/regmon联合监控的效果还要好,强烈推荐!
对付这些恶意的捆马者,我们要能轻松的识破他们的诡计,如果你想反向攻击攻击恶意的捆马者,可以使用些扫描工具或者溢出工具攻击攻击,如果实在没有办法可以使用SYN攻击工具直接攻击他的鸽子上线端口,这样绝对能让鸽子上线失效,当然,你要去免费域名商去把他的免费域名报告要求封闭也可以,具体的就大家自己干吧。。。
最后希望大家逃离挂马捆马的苦海,同时也希望那些以挂马捆马为荣耀的人停手吧,这样做对你们的技术提高有什么好处?
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
