经典恶作剧软件原理与解除方法转.docx

经典恶作剧软件原理与解除方法转.docx

《经典恶作剧软件原理与解除方法转.docx》由会员分享，可在线阅读，更多相关《经典恶作剧软件原理与解除方法转.docx（9页珍藏版）》请在冰豆网上搜索。

经典恶作剧软件原理与解除方法转

经典恶作剧软件原理与解除方法【转】

经典恶作剧软件原理与解除方法【转】2011-03-1723：

06一、norunnorun是个恶作剧软件,它只有一个可执行文件,字节大小,运行于Win98/ME下.运行后要求回答三道算数题.虽然题目很简单,但是一旦答错,机器将连续重启动12次（每次都有提示）后恢复正常.除此之外,没有其他影响.因此,norun是个真正的恶作剧软件,对大家的威胁并不大.不过,如果机器真的重新启动12次的话,也够恐怖的！

所以也要掌握应对它的方法.

最直接的方法是你回答对那三道题就可以了.不要担心,是小学二年级的都会做的算数题.

如果你回答对了,就会出现对话框,点击\"确定\"软件运行结束.由于你回答对了,所以不会出现连续重启动12次这样的现象.

如果你担心自己马虎回答错误（如果这个也回答不正确,那也太…）,可以用进程治理软件终止该进程,这样就可以了.我们以Windows优化大师为例.运行Windows优化大师,点击\"系统安全优化\"→\"进程管理\",在弹出的窗口中选中norun,点击\"终止\"按钮即可终止运行它,从而避免了norun造成的12次重启.

点评：

纯粹的恶作剧软件,可以用来跟朋友开玩笑用.

恶毒程度：

★

二、ilrilr也是个恶作剧程序,文件大小15KB.这么小的程序能干些什么破坏呢?

它是个捉弄人的程序,运行后会把硬盘上所有分区里的文件夹通通变成回收站！

使得你无法通过点击进进该文件夹！

天啊,我要是想进进文件夹该怎么办呢?

别着急,恢复方法是用以下格式运行该软件即可：

xxxx.exe-recover,要记牢格式哦！

点评：

一个很另类的恶作剧软件,不破坏数据,不会让你无法进进系统中,但是它会让你无法进入文件夹,使你干着急,可以用来跟朋友开玩笑用.

恶毒程度：

★

三、FUHD

这是一个垃圾文件生成器,程序运行后会在各磁盘（C：

-H：

）的每一个根目录、第一级子目录和第二级子目录生成随机文件名的垃圾文件.很久以前有个软件hdfill.exe有相似的功能,但是该hdfill需要VB4的运行库才能运行,在没有VB4运行库的机器中不能运行该程序.而该程序是用VB5编写的,虽然存在运行库的问题,但Win98中已经带有VB5的运行库,所以该程序可以在许多电脑中运行成功.也就是说许多朋友都有中招的可能和危险！

FUHD压缩包由四个文件组成：

FUHD.exe：

大小字节,所用图标为VB5的安装程序所用图标.直接在磁盘上生成垃圾文件,程序在后台运行,全过程没有任何提示.

setup.exe：

大小字节,所用图标为VB5的安装程序所用图标.运行后在后台生成垃圾文件.

Undo.exe：

大小6656字节.这是作者提供的删除上面两个EXE生成的垃圾文件的文件,如果你中招了,可以找来该文件,运行后就可以清除那些垃圾文件.

readme.txt：

说明文件.

点评：

虽然说现在很多人都有大硬盘,但是大量的垃圾文件分布在各个目录中,也是一件很麻烦的事.而且目录中含有过多的文件,会大大减慢系统的速度.作为恶作剧软件,它的危害不大.但如果不知道解除方法,也很讨厌.

恶毒程度：

★☆

四、Carem3Carem3是网络休闲庄（一个黑客网站）技术顾问Carem的作品,这是一个非常狠毒的恶意攻击软件,运行后如果不知道正确的破解方法,那肯定是要重装系统的.解压后的Carem3只有一个文件Carem3.exe,这是它所用的图标（左图）,大家记住了,轻易不要运行使用这个图标的软件,因为给你下套的人会给它改名的,所以记住它的文件大小也是个不错的识别方法,Carem3.exe文件大小字节.

此时鼠标被控制在一定范围内,无法点击屏幕上的按钮,按动回车键就会弹出个窗口警告你不要随意运行可执行程序,说这只是个教训之类的话,然后会自动重新启动电脑,但你再也无法进入心爱的Windows桌面了！

如果你没有按动任何键,Carem3也不会放过你,它会自动倒记时,从20秒到0就重新启动电脑,使你的系统崩溃！

程序的基本原理是破坏C：

\windows\system\下的vmm32.vxd文件.vmm32.vxd是虚拟设备驱动程序,正常文件大小字节,文件修改时间为1999-01-13,就是由于它被破坏了（文件被替换为同名文件,大小变为字节,文件修改时间变为1998-06-19）,导致你的计算机不能进入Windows系统.

作者提供的破解方法是：

在开机的时候按F8选择Commandpromptonly方式进入DOS下,之后在提示符后执行repair,就可以解决了.另外你事先备份了vmm32.vxd文件,就可以使用另外一个破解方法：

用启动盘从A盘启动计算机,将备份的vmm32.vxd复制到c：

\windows\system\里,重新启动计算机就可以了.如果没有备份,到其他计算机上复制一个来吧.

除了上面说的那两个方法,还有一个更简便的破解方法.我们在Carem3.exe刚运行后,倒记时尚未结束前,按住ALT+F4键关闭软件窗口（不要指看能通过按Ctrl+Alt+Del来终止它,作者早就将这些按键屏蔽了）,此时你的鼠标将被锁定在桌面的某个小范围内（屏幕中央偏右一点）,鼠标是无法使用了.但是如果你自己不重新启动电脑的话,Carem3.exe也不会自动重新启动你的电脑--因为它已经被关闭了.此时的你可以使用键盘来操作,如果嫌麻烦,直接重新启动电脑即可.不要害怕,我们按ALT+F4时已经将软件关闭了,在破坏开始前就将它给消灭了,所以这次重新启动电脑和我们平常重新启动电脑一样,是安全的！

顺便说一句如果你的系统是Win2000以下就要小心它了！

点评：

比较恶毒,因为一般人想不到它会破坏vmm32.vxd,不过还好,作者提供了破解的方法,所以还在可控范围内.

恶毒程度：

★

五、妖之吻

妖之吻是千年老妖的作品.下载解压后大小252KB,只有一个文件名为yzw.exe的可执行文件,它的外表看起来很友善--图标是两只握在一起的手！

如果你被这表面上的友善所打动,双击运行了这个程序,哈哈,你的恶梦就此开始了！

首先,屏幕上会出现一个不大好看的窗口,上面写着\"亲爱的,给你一个关机之吻\",同时在窗口中显示60、59、58…这样的倒计时数,记时到\"0\"系统就自动重新启动.当你再次听到Windows的启动声音,以为没什么事的时候,那个可恶的\"亲爱的,给你一个关机之吻\"又出现了,然后再次重启,如此反复,陷入一个死循环中,使你根本无法进入你的系统.你若想在那个窗口出现时按\"Ctrl+Alt+Del\"来终止它,根本就不管用,因为作者将热键屏蔽掉了.呵呵,这深情一\"吻\"不好受吧?

怎么办?

你要删除它的主文件?

好吧,假设你是在c盘根目录下运行的yzw.exe,删除它以后你再进入系统时,会出现对一个话框提示你\"装载c：

\yzw.exe失败,必须重新安装Windows\",这时你只能点击对话框上的\"确定\"按钮,点击后这个世界果然清净了许多--系统自动关机了.你若想通过安全模式进入Windows也是行不通的,它还会出现上面所说的提示,然后直接关机.那它到底是怎样控制我的系统的呢?

我给你一个提示,看看这句话：

\"装载c：

\yzw.exe失败\",对！

它要装载yzw.exe文件,要装载它就可能从注册表,win.ini,system.ini等入手,那么这个\"吻\"到底从何处加载的呢?

实际上,妖之吻运行后会修改c：

\windows\system.ini文件,将其中的shell=explorer.exe改为了shell=c：

\yzw.exe.当你再次开机时,所中的妖之吻会被自动加载运行.从这里可以看出,妖之吻用自己的主文件代替了Windows的explorer.exe文件,explorer.exe是Windows的外壳程序,在Windows启动的时候要加载它,由于yzw.exe和explorer.exe的启动运行不一样,因此中了妖之吻之后,改注册表和win.ini没有用.而且你不能删除yzw.exe,一旦删除它,Windows就会提示报错,要你重新安装Windows.注：

这里c：

\代表绝对路径,如你是在d：

\aaa下运行的yzw.exe,相应的shell就为d：

\aaa\yzw.exe.

解决办法：

这里共有五种方法提供给大家,用哪种方法都可以的.

方法1：

由于妖之吻是在system.ini中作怪,我们到那里把它消灭就可以破解它了.具体方法是：

机子重启后按Shift+F5进入Commandpromptonly方式,键入命令editsystem.ini编辑system.ini文件,把其中的shell：

=绝对路径\yzw.exe改为shell=Explorer.exe,存盘退出,再重启机子就可以进入那熟悉的Windows桌面了.

方法2：

同理用edit命令编辑system.ini文件,不过这次是将shell这条语句删除,存盘退出,重启即可破解妖之吻的控制.

方法3：

由A盘启动,将其它机子上的explorer.exe文件改名为yzw.exe,并将改名后的explorer.exe文件拷贝到yzw.exe所在的目录覆盖原来的yzw.exe文件,系统重启后就可以了.如果你觉得每次加载在Shell后的文件名为yzw.exe不大好,可以再用msconfig.exe将它该回为explorer.exe这个文件名.

方法4：

大家都知道Windows的窗口可以用组合键Alt+F4来关闭,在这里这个组合键依然有效.在你第一次运行yzw.exe文件,出现倒记时窗口的时候,按Alt+F4键可以关闭这个窗口,然后点击\"开始\"→\"运行\"调出\"运行\"对话框,键入msconfig.exe回车,这样就打开了系统配置实用程序,点击system.ini标签,找到[boot]小节,把shell=yzw.exe（当然前面还有yzw的路径）改成shell=Explorer.exe,这样就彻底解决了妖之吻.

方法5：

系统中如果有事先备份的System.ini文件,就可以在机子重启后按Shift+F5进入Commandpromptonly方式,然后把事先备份的System.ini文件拷贝到C：

\Windows下,覆盖原文件即可.

点评：

\"老妖出品,必属精品！

\"\"妖之吻\"是恶作剧软件中的精品！

一个可以促使菜鸟进步的小软件.并且它在\"江湖\"中出现的很早,所以对大家的威胁没有它刚出现时那么大了.

六、布莱尔之夜

布莱尔之夜也是个恶意程序,如果你不知道解除方法,后果比上面介绍过的两个恶意程序还要可怕！

下载后只有一个文件blair.exe,大小252,416字节,所用图标有闪电一道（左图）.不小心运行了blair.exe后会出现一个阴暗的画面,画面中间仿佛是中世纪的一个阴暗城堡,很恐怖哦！

如果你想通过按CTRL+ALT+DEL组合键来终止它的运行,那是不可能成功的！

作者早就考虑到了这一招,把热键都给屏蔽掉了！

正当你对着这个讨厌的画面一筹莫展时,电脑自动重新启动了！

当可爱的Windows桌面出现时,那个讨厌的阴暗画面也随之出现了！

等5秒种左右,电脑又被重新启动,于是一个循环又开始了！

最可恶的是,作者把ALT+F4也给屏蔽了！

这样我们就不能通过关闭窗口,然后再检查注册表或Win.ini、System.ini等文件,来对付这个恶意程序.

原来,blair.exe被运行后,除了屏蔽了所有热键外,还在C：

\Windows下生成syswf.exe文件,大小仍为252,416字节,并且在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值syswf,其键值为C：

\Windows\syswf.exe,这使得syswf.exe在系统启动时被加载,因此造成重启不断,循环不止.

解决办法：

有五种方法提供给你,自己选择吧！

方法1：

当bl