[讨论]论论坛发布的好几款PE的木马问题，请原发布者解答，谢谢！

s210603

其实，查出来以后，自己使用原来的没有压缩的文件替换一下不就可以了吗？

vert

看来“始作者”是沉下去了，建议大伙小心应用这些PE光盘了。

xwgod

用木马克星把我的ACDSEE里的连接文件都成木马了
用完我的东西就用不了了
垃圾！

emca

因更换工作单位，好久没有时间来看看了，却发现这里居然如此热火！
对于木马问题，本人可以很肯定地说，对于菜鸟，确实有木马——木马克星之流报告的木马；对于有一定分析能力的高手，确实又没有木马——没有真正意义上的木马。我要是真的想加个木马，还不至于使用这种简单的捆绑方法，起码可保证木马克星查不出，但有这个必要吗？因精简文凭体积的需要，对一个PE文件用Aspack进行加壳压缩，就可认为是木马？？给个脱壳后程序有二次跳转指令或者在内存或磁盘中分解出木马实体的证据先！如果再不相信，可在一机上有目的地试用，用防火墙监视各端口，监视注册表、文件的修改，如发现与木马行为相关的异常，并排除其他可能因素后，再下结论不迟。再重申：本人没有想让你相信没有木马，也没有承诺没有木马！就象无数的其他的程序或文档那样……哈哈！有趣！！

vert

下面引用由emca在 2004/04/15 11:06pm 发表的内容：
再重申：本人没有想让你相信没有木马，也没有承诺没有木马！就象无数的其他的程序或文档那样……哈哈！有趣！！

什么意思哦？怎么好像××？

dzy

因精简文件体积的需要，对一个PE文件用Aspack进行加壳压缩，就可认为是木马？？
给个脱壳后程序有二次跳转指令或者在内存或磁盘中分解出木马实体的证据先！
如果再不相信，可在一机上有目的地试用，用防火墙监视各端口，监视注册表、文件的修改，如发现与木马行为相关的异常，并排除其他可能因素后，再下结论不迟。

  
                        深山红叶 余兄：
                 洒家举双手双脚（能举的都举）支持你~~
支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~

emca

再说明一下：
1、确实有那么几种反木马软件为了骗取菜鸟网民们的信任，安装后确实会释放出木马特征的数据到硬盘中（不一定非得释放真正的木马），这样基于特征码扫描的软件就会说有木马了！随后钱就到手了！——医之好治不病以这功！
2、本人制作的系统光盘深山红叶各版本中，确实有一些类似木马或者说有木马特征的工具，比如还原精灵密码读取工具等，这些纯粹是为解决系统维护的问题而收录的高手们编写的软件，这些能被划入“木马”圈子么？Windows NT系列操作系统的密码修改工具 ERD Commander 算是木马么？Tools\Danger深层目录中的个别文件是准备在特殊情况下清除硬盘分区表来解决一些特定问题的，你认为是木马么？
某些工具具有一定的二重性，是否是木马，木马克星就说了算？？？！！太草率了吧？！
什么“王”、“星”、“霸”、“超级”，到底有多少能耐，大家应当是知道的。而“微软”——又小又软的公司，功力又如何？？？？？？

dzy

  
                       深山红叶 余兄：
                洒家举双手双脚（能举的都举）支持你~~
支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~支持你~~

vert

[UploadFile=34_1543_38.jpg]你的“支持”我理解，抄袭太多了，不好意思。
也是那种不会上传“ftp”的人员之一，偏偏在论坛说三道四的。

vert

什么都不说，先不说对“木马”的解释，建议你们先去学习学习“雨浪飘零”的大家风范吧！最少我佩服他的人品。

下面引用由mpu9123在 2004/04/14 01:58am 发表的内容：
大家好，我是雨浪飘零！
首先就光盘内查出木马向大家表示抱歉！
由于我现在出差外地，没法亲自验证，现在还不能确定。但从大家所查的结果来看，可能真的有木马存在！再次向大家表示抱歉！
盘里所有的工具大部分都是从网上下载的，使用时用了MACFEE和KV2004双重查毒，没有发现病毒！
这里想告诉大家的是，查出有木马，请先确定此木马是主动激活木马还是永久休眠木马，亦或是木马克星的误报？！
如果是主动激活木马，那我的罪责就大了，因为一旦由于光盘的流通造成重大问题，我可能因此要负法律责任！如果是永久休眠木马，大可不必惊慌，因为永久休眠木马虽然有木马性质的代码存在（木马克星就是根据此种代码判断程序是否为木马），但并没有引用代码，那它就永远不会感染文件和系统，更不会传播了。这种木马代码其实就是一段控制代码，在远程控制软件中都存在！大家如果用过流光的话，就知道几乎所有杀毒软件都把流光报为病毒，但流光本身并没有感染和传播功能，即使运行它都不会对系统造成影响。
因此，当查出木马存在的时候，不必惊慌失措，只要判断它是主动激活木马还是永久休眠木马！判断方法是运行一次程序后，查杀系统，如果系统已经被感染，说明是激活木马，这个是非常危险的！如果运行后系统并没有被感染，那就说明是休眠木马，根本不会对感染和传播。就在刚才，还有位朋友在QQ里提醒说“shutdown 含有的木马，被称为 trojan.rebootpc.b ”，其实这个shutdown.com是我从国外的SUPERPE ALL IN ONE中提取出来的，如果这个也是木马的话，那么SUPERPE ALL IN ONE也必然含有木马了，可是并未见大家报告它里面有木马？？？
有些朋友可能会说如果程序里的木马代码段用定时代码控制，只在一定的时间爆发，这样也是有危险的？其实目前大可放心，因为现在基本所有的病毒查杀工具都有对定时代码扫描的功能，如果一个程序里含有定时爆发代码，首先就会被各大杀毒软件发现，不会等到你用木马克星去发现的！！！
看了以上的说明，大家应该对木马有了解了吧？因为我现在出差外地，这个周末或者下个星期才能回去，所以现在我也不能绝对的说光盘里的都是永久休眠木马。但我做出来时用KV和MACFEE双重杀毒没有问题，所以目前至少我还是持乐观态度的！
另外说明一下，其实这个版本我并没有放出来，只是在熊坛内部交流的一个版本，是为了纪念我们扬州聚会制作的，因此里面才会有我们的聚会照片。可能是热心网友想分享给大家，才从熊坛联盟FTP下载后提供给大家的。
去年的0810版之后，我的工作就忙起来了，因为非典已经过去了，所有的工作开始正常了，所以没法象制作0810一样用那么长的时间和精力去制作和升级。虽然我一直想把升级版本发布（国庆版和圣诞版），但是由于并不是真正成熟的作品，所以一直没有发布，只在内部给朋友试用。这次一样，为了纪念我们熊坛网友扬州聚会成功，赶着时间制作了第六版，虽然做了大量升级，但还没有让自己非常满意，所以也没打算放出来，只给熊坛内部试用。
但热心朋友既然放出来了，其中的问题我当然不能不管，而且因为我的不严谨给大家造成的后果，我也一定会负责的！就这次木马事件，如果真的有激活木马存在，我一定会给大家一个说法的！！！
再次向大家表示抱歉！！！
最后，想请各位热心朋友帮忙测试一下，是否真的有激活木马。因为我现在外地出差，到周末或者下个星期才能回去，这些工作，只能请大家代劳了，非常感谢！！！

dzy

[UploadFile=34_1543_40.jpg]

下面引用由vert在 2004/04/15 11:27pm 发表的内容：
也是那种不会上传“ftp”的人员之一，

请问大哥：
你长眼睛了吗？？
你除了会搬弄是非还会做什么啊？？无聊！
你有时间多学点知识，少在论坛搬弄点是非，估计你不会死了吧！

emca

如果对自己的东西没有把握，再真诚的态度也是马后炮而已，嘿嘿
另外，本人未发布的新的 PE 中还真的有目的地放进了“木马”类型的东东，目的是方便在某些情况下进行远程控制——某些情况下维护系统或网络时图个方便。如果是当作正当工具使用，则它就根本不是木马；如果你把它用于干 XX 事，则就一定是木马了！大家何以谈马色变啊！犯心脏病了没人负责啊：D

vert

下面引用由emca在 2004/04/15 11:40pm 发表的内容：
如果对自己的东西没有把握，再真诚的态度也是马后炮而已，嘿嘿
另外，本人未发布的新的 PE 中还真的有目的地放进了“木马”类型的东东，目的是方便在某些情况下进行远程控制——某些情况下维护系统或网络时图个　...

看来老大真是“远程控制”的高手了，我理解了。

dzy

[这个贴子最后由dzy在 2004/04/15 11:52pm 第 1 次编辑]

无聊争斗真没意思！
睡觉去~~~
你们慢慢聊~~~~~
两位大哥再见~~

lcyu

有吗？我用瑞星查过,没有啊!!!