“专杀工具”这个词,你想到的时候也只是问哪里有下载吧!制作专杀工具往往都被称为“神话”,其实不然,几步操作下来,你也可以做成一个专杀工具。而这仅需AVEng(下载地址:http://work.newhua.com/cfan/200917/aveng.rar)来帮忙!
　　
　　


　　实例1:
　　制作灰鸽子专杀工具
　　
　　灰鸽子有很多变种,以黑防专版为例,首先利用上一期介绍的工具SREng和SREng智能分析工具制作出电脑的分析日志(见图1),然后打开AVEng的文件目录,打开配置文件Virus.ini,该文件内容类似于HTML语言,根据如图1所示的内容填写配置文件中的文字就可以了。
　　第一步:首先在[INF]段填写有关专杀工具的版本、版权等信息,可以随便填写,这里将Title和Name都修改为“黑防灰鸽子专杀工具”,其他的不修改就好了!
　　第二步:在如图1所示,日志提示我们C:\Windows\hacker.com.cn.exe没有删除,那么我们的专杀工具就要来删除它。在[INF]这一段文字的下面是[VIR]段,这里填写要删除的文件,首先将配置文件默认的项目删除,然后在[VIR]与[/VIR]之间输入%windir%\hacker.com.cn.exe。
　　第三步:分析日志提示我们[GrayPigeon_Hacker.com.cn/GrayPigeon_Hacker.com.cn]服务没有跳过,也就是说该服务没有删除,在配置文件中往下找到[SER]区段,删除[SER]与[/SER]之间原来的字符,输入%serdel%GrayPigeon_Hacker.com.cn,输入如图1所示中提示的后面的服务名,把其他默认的配置信息删除!然后保存文件,运行AVEng.exe(见图2)!这样一款灰鸽子专杀工具就制作完成了!留着自己用或者分享给朋友都可以。
　　
　　实例2:
　　制作NS远控专杀工具
　　
　　


　　远程控制是黑客至今都在用的手段,下面我们就来对付NS远控木马。步骤与上面的操作类似,打开Virus.ini文件,要修复IFEO映象劫持和文件关联,我们不需要在[REG]段修改相应的注册表键,只要找到[COR]区段,将IFEO和ASSOC后面的值设置为TRUE就可以了(这个区段中的内容TRUE表示要进行修复,FALSE表示不进行修复),保存文件,运行AVEng.exe,一个专杀工具又完成了。
　　
　　小编物语:这个制作工具其实就是指定一些删除文件、修复系统的操作,制作过程就是填写virus.ini文件(在Virus.ini文件中有详细的说明这里不再赘述),专杀工具制作的关键是获得相关的木马或者后门信息,然后我们来确定要做哪些操作。当然这样制作的工具的作用是有限的,我们必须清楚知道某一病毒所需的所有确切操作,功能还是相对比较局限,但是对于我们菜鸟来说也算是得到了DIY的乐趣!对付小病毒绰绰有余。
　　
　　小提示
　　测试工具是笔者修改的一个木马程序,添加了一些恶意代码,包括IFEO(映象劫持)、文件关联恶意修改及Rootkit功能,Rootkit的主要功能是替换系统的Ipinip.sys文件,但是针对该类木马或者病毒的修复使用该工具很难制作出专杀工具!