the1812 / malware-patch Goto Github PK

如图，使用chrome或IE浏览器下载完毕时，会立即被当作病毒删除，无法找回。

可以参考以下这个流氓软件列表

https://github.com/LittleDeng1/NoMoreCNMalware/

Trojan:Win32/AgentTesla!ml
file: C:\Users**lee\Downloads\mwp.bundled.zip->mwp.exe
不知道是怎么回事

我全屏蔽了之后打不开英雄联盟，把英雄联盟程序添加到白名单后UI上显示腾讯系解封了，是部分解封吗？

谢谢

建议添加“将应用或证书拖拽到这里以屏蔽”功能

问题签名:
问题事件名称: CLR20r3
问题签名 01: mwp.exe
问题签名 02: 2.9.8.0
问题签名 03: 610fdb7b
问题签名 04: mwp
问题签名 05: 2.9.8.0
问题签名 06: 610fdb7b
问题签名 07: 44
问题签名 08: 1a
问题签名 09: System.TypeLoadException
OS 版本: 6.1.7601.2.1.0.256.48
区域设置 ID: 2052
其他信息 1: a5be
其他信息 2: a5be30191bf653ac2a49fff2cc0076b1
其他信息 3: db23
其他信息 4: db23db5c74214e155983fdd412593bdf

联机阅读隐私声明:
http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0804

如果无法获取联机隐私声明，请脱机阅读我们的隐私声明:
C:\Windows\system32\zh-CN\erofflps.txt

下崽器.zip

WPS 应该添加进来

原理与方式
效果图(Windows 11)

目前使用的证书管理员方式拦截在UAC被意外关闭的情况下可绕过，建议追加此方案实现全方位拦截

能不能增加
①静默运行（可选开关/命令行）
②直接删掉安装包的功能（可选开关/命令行）

网址如下

https://www.onlinedown.net/soft/596914.htm

Windows 7 不能运行，是否需要某些 .net 框架？
直接双击无法运行，但带 --allow 参数运行时能弹出文件选择框。带其他参数运行无效。

很奇怪，在win10 ltsc 2021下面，软件不起作用，无法屏蔽禁止的软件安装。

文件说明是Ace Studio Class Library的这个Ace.dll

小鸟壁纸 ，元气桌面壁纸

https://dl.pconline.com.cn/download/49933-1.html
这是网址 作者可以测试一下

拦截日志如下
病毒名称：HEUR:Trojan/Distool.a
病毒ID：91B639204FCCF98B
病毒路径：C:\Users*\AppData\Roaming\IDM\DwnlData****\mwp_2062\mwp.exe
操作类型：修改
操作结果：已处理
进程ID：4620
操作进程：C:\Program Files (x86)\Internet Download Manager\IDMan.exe
操作进程命令行："C:\Program Files (x86)\Internet Download Manager\IDMan.exe" /onboot
父进程：C:\Windows\explorer.exe

分享我的使用经历

• 一直在用这种“证书防御”的方法来“保卫”家中长辈们的电脑。不用配置复杂的HIPS规则，就可以免遭大部分流氓软件的侵袭。
• 最近卡巴斯基总是将mwp.exe标记为恶意软件，软件更新后又要重新添加信任。长辈们不会操作，每次都是我远程帮他们重新部署。杀软”狙击“的行为是很奇怪的，但是长辈们的电脑不得不安装杀毒软件。早期我使用的是github上的另一个项目chinawareblock，使用shell脚本安装证书的方式一直没出过问题，但是这个项目年久失修，证书仓库很久没有更新了。
• 因此我想为了避免杀软狙击，可以改用shell脚本下载、上传和安装，通过windows计划任务定期运行，形成“云证书防火墙”。
• 另外，这类项目最有价值的地方就是不断更新的证书仓库，若是能侧重于malware证书的提取和上传，用户使用类似订阅连接的功能从网络下载最新的证书库，那这个防御体系的威力就很可观了。
  以上是我结合自身的使用体验，提出的一些看起来美好但也许不成熟的想法，供社区批判性讨论。

关于shell的想法我也进行过研究，但是由于技术有限，遇到了难点，我将一些进展列于下方。

shell实现方案的“研究进展”

• windows自带相关的CLI证书管理工具，安装和删除操作都能够比较轻松的实现。关于证书提取，类似于C#的CreateFromSignedFile()这一接口，powershell有Get-AuthenticodeSignature这一cmdlet。
• 但是难点在于全部数字证书的自动提取，具体来说：使用powershell的相关命令只能提取出文件的第一个证书，而现在的软件（比如说QQ）都具有2个或多个证书，只要有一个证书没有被屏蔽，程序就照样能够运行，这也是windows证书机制比较坑爹的地方。

• 当然还有一个方法是用户手动提取证书，然后选择上传到公共仓库。我将查阅到的方法附于下：

1. 鼠标右击任意一个exe、msi或dll文件，选择“属性”。
2. 如果文件经过数字签名，将会出现一个标题为“数字签名”的选项卡，选择该选项卡。
3. 在“签名列表”中可以看到一个或多个签名文件，通常是 sha1 或 sha 256 。选中其中一个。
4. 在步骤 3 中做出选择后，单击“详细信息”按钮。
5. 在新弹出的“数字签名详细信息”页面上，选择“查看证书”按钮。
6. 在新弹出的证书页面中，选择“详细信息”选项卡，然后点击“复制到文件”按钮。
7. 在新弹出的证书导出向导中，单击第一页上的“下一步”按钮。
8. 在“导出文件格式”页面上，选择 DER 或 Base-64 编码的 x.509 (.CER) 选项，然后按“下一步”按钮。
9. 在要导出的文件页面上，使用“浏览”按钮设置证书文件的放置位置以及文件名。
10. 单击“下一步”按钮。
11. 在完成证书导出向导页面，点击“完成”按钮，出现弹出框后点击“确定”按钮。证书文件导出完成。

• 最后关于上传与下载，这些都是shell的拿手好戏。

原来这个是大佬您的作品。
之前看到有人推，还真不知是你写的
666

我注意到这个程序会被很多杀软误报，其中卡巴斯基检测为:HackTool.MSIL.AntiAV.a，这表示卡巴斯基将此程序分类为可被用于反反病毒软件的工具。我注意到软件介绍中的奇虎360签名，奇虎360在卡巴斯基实验室亦被认定为反病毒软件提供商与合作伙伴，此程序可被用于拦截奇虎360的反病毒产品安装，这或许是包括卡巴斯基在内的其他杀毒软件误报的一个重要原因。

病毒名称：HEUR:Trojan/Distool.a
病毒ID：A0B15D51C09002B9
病毒路径：C:\Users\。。。\AppData\Roaming\IDM\DwnlData\ZWB\mwp_379\mwp.exe
操作类型：修改
操作结果：已处理

进程ID：10588
操作进程：D:\常用软件\IDM\IDMan.exe
操作进程命令行："D:\常用软件\IDM\IDMan.exe"
父进程：C:\WINDOWS\Explorer.EXE

我看到了taobao的cert列表和display-names.json里有这一项，但程序里并未看到这个开关。

看了certificate-map.json和Block-List.zh-CN.md，里面是不是漏掉了？

Edit: Youku里反倒是四个alibaba证书，和Taobao里那两个也不一样。

badcert 是我的项目，现包含 300 多个证书。这个项目只收集证书，所以比较全面，建议直接拿去使用。

如题

网址如下

https://www.mydown.com/soft/443/472030943.shtml

请问屏蔽百度指的是屏蔽什么？我的百度网站还能打开啊

我全部勾选然后保存，还有点全部允许按钮再保存都试过了，依然无法运行QQ，gui内的所有软件都处于绿色状态

支持Windows11吗？

文件证书：起点PDF阅读器.zip
证据：https://www.huorong.cn/info/1660892844878.html

请求加入拦截。

已检测Adware:AndroidOS/,Multiverze
状态：已隔离
隔离的文件在不会损害设备的受限区域内。系统将自动册除它们。
日期：2023/6/817:09
详细信息：这个程序将可能不需要的广告发送到你的计算机。
受影响的项目：
file:D下载mwp.bundled（）,zip

大陆区域访问 raw.githubusercontent.com 会被阻断。
所以如果可以加上可选使用系统代理或自定义代理检查更新会更方便。

UC浏览器和搜狗高速浏览器。
经测试未被软件拦截，原因可能是使用的是旧版本的证书……
链接，下载次数用完了或者过期了跟我说

试了下 关闭软件就不行了

能否做一个可以自己通过选择软件将其加入屏蔽列表，并且此列表可以复制到其他电脑使用得程序！这样的话授人与鱼不如授人与渔，软件基本做好也就不用更新了！

在屏蔽了腾讯之后QQ的一些功能比如群公告、群文件、加好友等区别于聊天功能加载的功能无法正常使用了，会一直转圈圈。（如图）

然后命令行导入列表，因为有一些流氓软件还需要用，特别是办公室里面的电脑，例如QQ威信的。
做成命令行导入静默执行，可以使用软件策略用命令分发下去统一执行。
感谢作者做出贡献！

Reason Security
遇到的流氓软件, 静默安装且无法卸载, 能否考虑加入屏蔽列表?
Malware encountered that installs silently and cannot be uninstalled. Could you please consider adding it to the banning list?

在企业管理中有很多软件无法控制，是否可以应用到AD中下发策略屏蔽相应的软件？我有这个想法，是否还需要相应的软件证书？

ce0a412 中更新了这个mvp-ver.txt文件

d73ef0b 但是在刚刚的2.13.0.0中并没有

这是否会对自动更新产生影响

这个软件是真的好用, 和SoftCNKiller配合使用攻守兼有流氓不现(笑)如果和SoftCNKiller项目合作一波, 查杀一体化(笑)

提交一个样本包样本
包含了一个漏掉了的P2P下崽器, 以及若干没有收录的流氓软件, 也包括了若干大流氓软件(鲁大师之类的)

一些问题/疑问:
同时实测先安装了软件再屏蔽似乎没有用. 这个原理所限.
能否考虑白名单模式, 只允许特定软件安装? 这样管他什么P2P下崽器全部干掉, 或者增加拦截记录(这个应该没办法, 原理所限.
微信/QQ似乎也被拦截掉, 但是有很多流氓软件也是通过腾讯的数字签名来保护的.

有些WIN7一运行就提示错误，不知道缺少什么造成的，修复一下。