加载中…
个人资料
A_C_E
A_C_E
  • 博客等级:
  • 博客积分:0
  • 博客访问:687,344
  • 关注人气:698
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
正文 字体大小:

Max脚本插件——清理Max病毒(恶意回调脚本)

(2017-06-27 14:29:31)
标签:

max

maxscript

插件

脚本

病毒

分类: 3DMax脚本插件
 
Max脚本插件——清理Max病毒(恶意回调脚本)Max 病毒 (请认真看完它)
近期的遭受Max病毒的人 也越来越多 (因为 此病毒 会被保存在max文件中) , 来帮大家简单的分解下
这个脚本 只是一个专杀 vrdematcleanbeta 系列的脚本 
(当然 换个名字换个地址  又是一款新的病毒,我也不知道到底有多少种恶意病毒。。。)

点我下载清理病毒工具

主要问题 
(无法保存,崩溃,会自动删除相机,删除灯光,删除材质等。而且每次一关闭MAX就会保存文件,强制存盘就会损坏文件,还会感染其它文件。只要一打开,文件就中招。。。)
这是一种 利用max的表达式方法 添加了 恶意性的回调 代码。。。
( 如果是娱乐 添加代码是可以理解的,但是在保存文件 把代码保存在 Max文件中传播下去 这就很 尴尬了。) 
    很早以前的  放电池就会动的时钟.max  这就是一个很好娱乐案例
很庆幸 开发者把恶意病毒的隐藏的不够深,要不你需要花很多的时间来 手动找病毒文件
下图是这个Max病毒 隐藏的文件 
Max脚本插件——清理Max病毒(恶意回调脚本)

下面我看看 有病毒电脑的文件 和 没有病病毒电脑的文件的 区别

Max脚本插件——清理Max病毒(恶意回调脚本)Max脚本插件——清理Max病毒(恶意回调脚本)

左图是没有 病毒电脑的空文件    右图是有病毒的空文件  对比发现多了两个物体  物体名字为 多个空格 

不管怎么样 传播的方式不会太大变化
    大多是 创建一个脚本文件 在max启动的时候运行它 这样做的后果 就是 无论你怎么重新打开max 都会启动 这个脚本文件
    当然也有其他的方法 就不分享了。。。
下面是 4个最为常用的启动脚本的文件夹  获取代码

GetDir #startupScripts-- "C:\Program Files\Autodesk\3ds Max \scripts\startup" 
GetDir #userStartupScripts  -- "C:\Users\\AppData\Local\Autodesk\3dsMax\ - 64bit\ENU\scripts\startup" 
(GetDir #maxroot)+"stdplugs\\"  -- "C:\Program Files\Autodesk\3ds Max \stdplugs\"  
     -- (这个最可怕 这里面每一个文件夹 都可以视为 启动文件)
(GetDir #maxroot)+"plugins\\"-- -- "C:\Program Files\Autodesk\3ds Max \plugins\"

打开Max F11 打开侦听面板  复制以上代码 回车 即可看到 文件夹路径地址  
根据以上地址 去查看 这些文件夹下 是否包含可疑的 病毒脚本文件。(记得 要把系统默认的  隐藏文件 显示出来) 删除这些 病毒脚本文件
Max脚本插件——清理Max病毒(恶意回调脚本)
Max脚本插件——清理Max病毒(恶意回调脚本)


下一步
callBacks.RemoveScripts() -- 清空回调信息
delete $ * ; delete $ *  -- 删除藏有病毒文件 的物体
actionMan.executeAction 0 "40006"  -- 保存文件
messageBox "已清除病毒 , 自动保存" title:"Ace提示"

打开Max F11 打开侦听面板  复制以上代码 回车 即可清空回调信息 ,删除藏有病毒文件 的物体
清空回调信息    清空回调必须在前面,防止 利用回调信息在创建文件 和 创建物体
删除藏有病毒文件的物体    (这一步很尴尬,如果别人换个物体名字,你就需要换个名字删除物体。)
        病毒文件名字 在 图4 可以查看到。。
或者用以下代码 把名字打印 出来 

 for o in objects do print o.name

Max脚本插件——清理Max病毒(恶意回调脚本)

那么下面的问题来了,清理回调信息后 会导致一些插件的信息 丢失 例如 VR 
Max脚本插件——清理Max病毒(恶意回调脚本)



网友 然后 提供的代码   以下代码

callbacks.addScript #systemPostReset "try(VFB_mothods_struct.Reset())catch()" id:#vfb_rollouts
callbacks.addScript #filePostOpen "try(if(callbacks.notificationParam() != 2) do VFB_methods_struct.Reset())catch()" id:#vfb_rollouts
callbacks.addScript #postRendererChange "try(VFB_mothods.VFB_ResetRollouts())catch()" id:#vfb_rollouts
callbacks.addScript #preImageViewerDisplay "try(VFB_mothods.VFB_AddRollouts (callbacks.notificationParam()))catch()" id:#vfb_rollouts

当然我并不支持这种做法,有潜在的危险。。。 
用我的想法就是 管它个毛线,直接关闭max 重启。。。耽误不了 你多少时间。

个人体会,这种方式 娱乐 做为娱乐是可以理解的。
对独立的max做一些保护手段 也是可以理解的,毕竟模型人员 还是靠模型吃饭的。
但是 再去创建文件  创建物体 去传播 就尴尬了。。

用这种方式 可以做一些有意思的东西
   Ms脚本加密进Max  http://blog.sina.com.cn/s/blog_8f82de660102wqzr.html
    添加注释到Max http://blog.sina.com.cn/s/blog_8f82de660102wqzs.html

另外,针对不同情况,还可以使用以下几个同类工具,有批量处理,和搜索文件查毒功能。(CG工具箱)
Crp_Autohorization 专杀:http://tk.v5cg.com/tools/997.html
回调终结者(病毒清理):http://tk.v5cg.com/tools/1023.html
常见恶意脚本清理:http://tk.v5cg.com/tools/659.html

   如果觉得对你有帮助,请转发给你的朋友


0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有