[讨论]论论坛发布的好几款PE的木马问题，请原发布者解答，谢谢！

vert

[UploadFile=34_1543.jpg][这个贴子最后由vert在 2004/04/13 09:18am 第 1 次编辑]

不知道是“木马克星”的问题，还是论坛发布的几款PE的问题，由于我们的论坛“造就”大批“抄袭”高手，总算把这些“木马”“遗臭万年”下来了，造成现在的情况。
先看看论坛发现最早的“雨浪飘零多功能系统维护光盘第六版（扬州聚会特别纪念版）”这张光盘镜像的“木马”。

vert

[这个贴子最后由vert在 2004/04/13 09:32am 第 2 次编辑]

而后我追踪了深山红叶的pe镜像
发现如下：
V10
P:\PEXP\SYSTEM32\FACTORY.EXE 发现木马:win炸弹618
P:\PEXP\SYSTEM32\PROUnstl.exe 发现木马:黑影1.0
P:\PROGRAMS\BiosInfo\BIOSAG.EXE 发现木马:网络神偷9-8
P:\PROGRAMS\TOOLS\文件夹虚拟驱动器.EXE 发现木马:trojan8-8b
P:\PROGRAMS\winvnc\setupdrv.exe 发现木马:传奇木马潜伏者1212
P:\TOOLS\!danger!\danger\danger\hyjli.exe 发现木马:还原精灵密码读取63
P:\TOOLS\!danger!\danger\danger\YUANZHI.EXE 发现木马:还原精灵密码读取63
扫描完成.
V9
P:\PEXP\SYSTEM32\FACTORY.EXE 发现木马:win炸弹618
P:\PROGRAMS\TOOLS\文件夹虚拟驱动器.EXE 发现木马:trojan8-8b
P:\PROGRAMS\winvnc\setupdrv.exe 发现木马:传奇木马潜伏者1212
扫描完成.
V8
P:\PEXP\SYSTEM32\FACTORY.EXE 发现木马:win炸弹618
P:\PROGRAMS\TOOLS\文件夹虚拟驱动器.EXE 发现木马:trojan8-8b
P:\PROGRAMS\winvnc\setupdrv.exe 发现木马:传奇木马潜伏者1212
扫描完成.
V5
P:\PROGRAMS\TOOLS\文件夹虚拟驱动器.EXE 发现木马:trojan8-8b
扫描完成.
第一张深山红叶发布的神州5纪念版shenzou5xp.iso
P:\PROGRAMS\ERDCMD2002\LOCKSMITH.EXE 发现木马:黑影1.0
扫描完成.

vert

[UploadFile=34_1543_2.jpg]这是深山红叶光盘文件与别人文件的区别1

vert

[UploadFile=34_1543_3.jpg]这是深山红叶光盘文件与别人文件的区别2

vert

[这个贴子最后由vert在 2004/04/13 09:26am 第 1 次编辑]

可否请原作者谈谈到底是“木马”，还是因为你的压缩、加壳造成“木马克星”误报，好让使用者明白。
首先，本人有一点不明白，系统文件有必要“改造”吗？，其次，我们的光盘就会差这么一点空间大小，一定要“压缩”这些系统文件吗？
我现在还是宁可相信是木马克星的问题，因为，深山红叶的光盘太出名了，加上“制造”PE的最佳、最快方法就是“抄袭”，不知道现在有多少改头换面的PE在流行。如果真是木马，难以想象对于维护和装机会造成什么后果。
有请原作者回答大家，谢谢了！

rsjd

我只能在这里说一句：“木马克星”本身就不是什么好东西

zuzi

木马克星本身就存在误报问题，国外的一些安全论坛上对它也是非议很多。
不过也可能的确是光盘存在木马、蠕虫等，光盘的原作者应该出面说明情况。

vert

[这个贴子最后由vert在 2004/04/13 09:57am 第 2 次编辑]

下面引用由rsjd在 2004/04/13 09:41am 发表的内容：
我只能在这里说一句：“木马克星”本身就不是什么好东西

我也宁可相信是木马克星的问题，但是，总要给大家一个明明白白的“交待”，不然，如果真的有问题的话，影响不小的，因为毕竟会用到PE的，都不是“简单”的维护菜鸟了，他们的工作往往是帮忙传播这些木马，想象一下，最终的结果是什么。
这些问题说小也小，大伙不用这些维护光盘就罢了；说大了，原作者可有病毒传播和病毒制造的嫌疑，毕竟通过维护人员二次传播他所“种”下的“木马”，性质就非常严重了；已经触犯了法律了；因为，要绑定这些“木马”，并且让杀毒软件无法查杀，那可不是一般人可以制造出来的，何况“木马”的性质不同与一般的病毒，病毒可以谅解，因为有可能制作的时候本身的电脑就已经感染病毒了，木马却不同，一般要人为的绑定的。

wlyh

我用反黑精英扫描了pe－v10版，确实报告有木马，只是数量不一样，有三个，都在tool下面～～～
搞不懂了～～～，到底是软件错误报告了，还是本来就携带的呢？？？？

wlyh

补充一下，用诺顿没有扫描到什么可疑的程序

vert

\TOOLS\!danger!\danger\danger\hyjli.exe 发现木马:还原精灵密码读取63
\TOOLS\!danger!\danger\danger\YUANZHI.EXE 发现木马:还原精灵密码读取63
这样的破解类软件，如果杀毒软件认为是密码，还情有可原的，其他的请作者解释解释。
请深山红叶回答我们的疑问，谢谢……

拯救危机

深山红叶很久没来了。

zhengjian

到底有没？

mpu9123

请原发布者解答

oiun

是啊..作者解释下啦...不然大家心里 扑通.扑通得.~~~~~~~

auster

从来不用别人提供的光盘。

mdjddzy

下面引用由zhengjian在 2004/04/13 03:58pm 发表的内容：
到底有没？

当然有了

dongxie100

关注ING

wlyh

我提个建议：哪位和作者熟识的，能联络到作者的，请给作者捎个信息，一来这个是关系到作者的声誉，做为朋友应该帮个忙，二来也可以让作者出来澄清一下事实，以解大家心头忧虑。

snowfox

avp 可以扫描到木马程序，飘零的和红叶都有

kaibiao

可刻成盘后来用,都没什么事啊!!我用红叶v9的!

crshen

[UploadFile=34_1543_22.rar]

下面引用由vert在 2004/04/13 09:14am 发表的内容：
而后我追踪了深山红叶的pe镜像
发现如下：
V10
P:\PEXP\SYSTEM32\FACTORY.EXE 发现木马\PEXP\SYSTEM32\PROUnstl.exe 发现木马\PROGRAMS\BiosInfo\BIOSAG.EXE 发现木马\PROGRAMS\TOOLS\文件夹虚拟驱动器.EXE 发现 ...

不要太危言耸听好不好，深山红叶跟你有什么深仇大恨，犯得着放这么多木马吗？
随便选了个v10版中的BIOSAG.EXE，查看为aspack加壳，pe格式分析并无捆绑文件。脱壳后再次分析也没有发现捆绑。用瑞星16.21.40及金山两个杀毒软件查毒均无问题。为防万一，直接采用w32asm反汇编及与网络神偷木马比较，没异常发现。运行此程序后，瑞星防火墙没有任何提示。（附件为biossag.exe及其脱壳后的文件，网络神偷在木马帝国有下，因上传文件大小限制，未附上）以上证据足以说明一个问题：
木马克星，你克个屁啊！！！

MHB

不要用木马克星 它们本身就是木马 你一运行 就生出了很多木马

koe

下面引用由crshen在 2004/04/13 10:27pm 发表的内容：
不要太危言耸听好不好，深山红叶跟你有什么深仇大恨，犯得着放这么多木马吗？
随便选了个v10版中的BIOSAG.EXE，查看为aspack加壳，pe格式分析并无捆绑文件。脱壳后再次分析也没有发现捆绑。用瑞星16.21.40及金山 ...

你代表谁回答呢？我们怎么相信你的权威呢？

矮人

一个木马克星正版用户的申诉！（转载）
--------------------------------------------------------------------------------
我自购买了木马克星后，在使用过程发现此软件太多太多的问题了！
于是注册到木马克星论坛发贴反映问题并鞭策木马克星改进！
它要是不改进，我的60大元不就白花了！
我2004年4月11日前在木马克星论坛的签名档是这样的：
------------------------------------------------
勒紧裤头，节省了60大元购买了木马克星，使我永远成为D版朋友的笑料！
尤其是在用版本不稳定或不能查杀木马时，朋友更是狂笑不止！
告诉你们：木马克星从没一次能让我的朋友止笑！
唉.........后悔中！
------------------------------------------------
用过木马克星的用户都知道，我上述签名档只是反映事实！
一天一个版本，要想世界上也只有木马克星是这样的了！
更过份的是正版用户在线升级病毒库，老是说是最新版了！
（事实上不是最新版）！不知搞什么！
要我们正版用户装了又卸，卸了又装才能是最新版。
（要下载最新版，卸了旧版安装新版，才算是升级）
询问木马克星有关人员，竟然说是为了提高下载量！
我K，正版用户花了钱还要这样受你们折磨！
你木马克星为了提高下载量竟然出这样下流无耻的招数折磨用户！
木马克星你有良心吗？
我上述签名档不是为了发泄什么，我只想用那签名档鞭策木马克星，让它不断进步！
大家看看，我的档名档在2004年4月11号让那卑鄙无耻的木马克星论坛版主改成现在这样了！
我鄙视修改我签名档的无良版主！
让那可耻的人改为:
------------------------------------------------
现在我很爱木马克星，以前对他有成见，是我 不对
------------------------------------------------
我K.......我什么时候对木马克星有成见了，我又什么时候很爱木马克星了？！
一些网友对那位卑鄙版主的行为狂笑不止，认为那版主太可笑太幼稚了！

下面的一个投票调查也许能让大家更了解木马克星：
>>>>[投票]对木马克星调查
1你认为木马克星对查杀木马效果十分好。 0.59%
2你认为木马克星对查杀已知木马效果十分好。 10.7%
3你认为木马克星对查杀木马效果一般。 13.9%
4你认为木马克星对查杀木马效果无什么作用。 65.3%
5你认为木马克星对查杀木马效果十分差。 9.5%
>>>>[投票]对木马克星赠送软件的调查
1你相信提交木马能得到软件。 8.9%
2不相信提交木马能赠送软件。 91.1%
>>>>[投票]对木马克星为了提高下载量不提供在线升级的意见(多选)
1木马克星不应为了下载量而这样做。 82.9%
2木马克星为了生存这样做也没什么。 1.2%
3相信是木马克星制作者水平有限而这样做。 55.8%
4十分鄙视木马克星的这种行为。 79.3%
我有个网友Kan，他做了个木马提交给木马克星作者，根本上就没软件赠送。
那提交的木马肯定是第一个提交的木马样本了（自己做的啊），为什么会没赠送呢？！
可见那提交木马赠送软件是木马克星的虚假广告。
木马克星作者想收集木马标本的心情可以理解，但也不应用这样的方法！
经有效的测试，木马克星杀木马的方法，只是更改已知木马的后缀，更改木马文件名罢了！
更可怕的是，流行木马只要加一加壳，木马克星又不能查杀了！
难怪木马克星要一天一个版本！
一天一个版本的木马克星，全部用户要下载才能升级到最新版，它的下载量那会不高！
下载量高了，一些软件评比机构依靠下载量来对软件做出评比！
还以不它真的好，竟然还给它评高分！
可笑！可耻！
从上述，可以看出木马克星人的思想和行为是多么的肮脏不可取！
在此提醒各位朋友，在购买木马克星前真要三思而后行啊！
我现在真的好后悔花了60大元购买木马克星。
现在5折退货我也十分乐意！

gmland

那东东真是垃圾,真的

HuAnGkUn

我只用国外的。国内的水平不够，人品更臭！

vert

下面引用由HuAnGkUn在 2004/04/14 01:36pm 发表的内容：
我只用国外的。国内的水平不够，人品更臭！

哪张盘哦，是不是多个pe整合得那张？

sck

我都不敢用了。