清理Max病毒(恶意回调脚本)

开源 免费
发布者:Ace_MXS
3DMAX
47747人感兴趣
立即添加
功能介绍 代码 相关
举报 收藏
本工具由开发者Ace_MXS 发布提供,与本站无关。本站所有工具功能开发、维护、升级由开发者负责,售出盈利归开发者。若使用中遇到问题,请在评论区留言,或向网站客服寻求帮助。

本工具已参与【7.7MAX无毒日】活动,所有用户可以免费领取使用,详情请看:http://tk.v5cg.com/tools/1023.html

仅限活动期间,请及时添加,逾期不候!


 Max 病毒 (请认真看完它)


【前言】:

  • 近期的遭受Max病毒的人也越来越多 (因为 此病毒 会被保存在max文件中) , 

  • 来帮大家简单的分解下:这个脚本 只是一个专杀 vrdematcleanbeta 系列的脚本 (当然 换个名字换个地址  又是一款新的病毒),我也不知道到底有多少种恶意病毒。。

  • 主要问题 (无法保存,崩溃,会自动删除相机,删除灯光,删除材质等。而且每次一关闭MAX就会保存文件,强制存盘就会损坏文件,还会感染其它文件。只要一打开,文件就中招。。。)

  • 这是一种利用 max的表达式 方法添加了恶意性的 回调代码。。。( 如果是娱乐,添加代码是可以理解的,但是在保存文件,把代码保存在 Max文件中传播恶意程序,这样的做法,这就很尴尬了。) 

  • 很早以前做的一个娱乐程序:【放电池就会动的时钟.max】,这就是一个很好娱乐案例,下载地址 : http://pan.baidu.com/s/1bQLMYq 



【分析】:

  • 很庆幸 开发者把恶意病毒的隐藏的不够深,

  • 下图是这个Max病毒 隐藏的文件:


【中毒和未中毒的区别】:下面看看有病毒电脑的文件 和 没有病病毒电脑的文件的区别:

尊敬的游客,告诉您一个秘密,这里隐藏了5张非常重要的演示图,需要您登录后才可见。

图1是:【没有病毒】的空MAX文件;

图2是:【有病毒】的空MAX文件,对比发现多了两个物体,物体名字为多个空格;


【病毒传播方式】:不管怎么样 传播的方式不会太大变化:

  • 大多是创建一个脚本文件

  • 在max启动的时候运行它

  • 这样做的后果就是无论你怎么重新打开max 都会启动这个脚本文件

  • 当然也有其他的方法 就不分享了。。。


【获取病毒文件夹的代码】:下面是 4个最为常用的启动脚本的文件夹获取代码:

GetDir #startupScripts

GetDir #userStartupScripts

(GetDir #maxroot)+"stdplugs\\" -- (这个最可怕 这里面每一个文件夹 都可以视为 启动文件

(GetDir #maxroot)+"plugins\\"


【代码应用方法】:

  • 打开Max F11 打开侦听面板

  • 复制以上代码

  • 回车

  • 运行上面的代码后,就会找到你当前MAX中的文件夹,如下四个结果:

"C:\Program Files\Autodesk\3ds Max <ReleaseNumber>\scripts\startup" "C:\Users\<UserName>\AppData\Local\Autodesk\3dsMax\<ReleaseNumber> - 64bit\ENU\scripts\startup" 

"C:\Program Files\Autodesk\3ds Max <ReleaseNumber>\stdplugs\"  
"C:\Program Files\Autodesk\3ds Max <ReleaseNumber>\plugins\"


【提示】:也可以手动搜索这四个文件夹,但,一般都会搜索出很多这样的文件夹,仔细看看这些文件夹里面有没有病毒文件,有就删掉:

  • startup

  • stdplugs

  • stdplugs

  • plugins


【额外的方法提示】:也有开发者表示,可以将文件夹的权限,改成“只读”,不让文件写入,这样就不会出现病毒文件的自动生成:

    C:\Program Files\Autodesk\3ds Max 20XX\scripts\Startup

    在对应MAX版本的路径下,将这个文件夹内内容都设置成只读状态吧。。简单防毒


【删除病毒文件】:根据以上地址,去查看这些文件夹下是否包含可疑的病毒脚本文件。(记得 要把系统默认的隐藏文件显示出来) 删除这些病毒脚本文件!


【特别提示】:

  • 或者在电脑中手动搜索找到这两个文件;

  • 可以手动搜索这两个文件删除掉;

  • 但是这不彻底,因为带有病毒的文件一打开之后,这两个文件又会出现;

  • 而且启动MAX,就会运行这两个恶意病毒,就会感染新的MAX文件;


【清空回调,彻底清除恶意病毒】:复制下面的4行代码:

callBacks.RemoveScripts() -- 清空回调信息

delete $  * ; delete $   *  -- 删除藏有病毒文件 的物体

actionMan.executeAction 0 "40006"  -- 保存文件

messageBox "已清除病毒 , 自动保存" title:"Ace提示"


【使用方法】:

  • 打开Max F11 打开侦听面板

  • 复制以上代码 --回车,即可清空回调信息,删除藏有病毒文件的物体;

  • 清空回调信息:清空回调必须在前面,防止 利用回调信息在创建文件 和 创建物体;

  • 删除藏有病毒文件的物体:(这一步很尴尬,如果别人换个物体名字,你就需要换个名字删除物体。)

  • 病毒文件名字在前面 图4 可以查看到。。

  • 或者在使用上述四行代码后,再次使用以下代码,把含有病毒的名字显示出来:


for o in objects do print o.name


【后遗症】:那么下面的问题来了,清理回调信息后,有可能会导致一些插件的信息丢失,例如 渲染窗口 的一些功能


【后遗症补救】:用网友,开发者“然后https://tk.v5cg.com/tools/search?keyword=trykle&type=2  ”提供的代码,以下代码:


callbacks.addScript #systemPostReset "try(VFB_mothods_struct.Reset())catch()" id:#vfb_rollouts

callbacks.addScript #filePostOpen "try(if(callbacks.notificationParam() != 2) do VFB_methods_struct.Reset())catch()" id:#vfb_rollouts

callbacks.addScript #postRendererChange "try(VFB_mothods.VFB_ResetRollouts())catch()" id:#vfb_rollouts

callbacks.addScript #preImageViewerDisplay "try(VFB_mothods.VFB_AddRollouts (callbacks.notificationParam()))catch()" id:#vfb_rollouts


【我觉得】:

    可以修复渲染窗口上的一些功能,当然我并不支持这种做法,有潜在的危险。。。 用我的想法就是,不用补救,没关系,管它个毛线,直接关闭max 重启就好。。。耽误不了你多少时间。


【总结】:

    个人体会,如果只是利用 MAX回调 这个功能娱乐一下,做来玩玩是可以理解的,或者用来对独立的max文件做一些保护手段,也是可以理解的,毕竟模型人员还是靠模型吃饭的。但是,再去创建恶意病毒文件,创建物体,去传播病毒辣,这就尴尬了。。。

【拓展】:用这种方式,可以做一些有意思的东西:


【强烈推荐】:另外,针对不同情况,还可以使用以下几个同类工具,有批量处理,和搜索文件查毒功能。


如果觉得对你有帮助,请转发给你的朋友! 

简介

清理特定 恶意性病毒(利用回调代码创建病毒文件),主要问题:无法保存,崩溃,会自动删除相机,删除灯光,删除材质等。而且每次一关闭MAX就会保存文件,强制存盘就会损坏文件,还会感染其它文件。只要一打开,文件就中招。。。这是一种 利用max的表达式方法 添加了 恶意性的回调 代码。。。( 如果是娱乐 添加代码是可以理解的,但是在保存文件 把代码保存在 Max文件中传播下去 这就很 尴尬了。)

发布时间: 2017-06-23 18:46:12

最后更新日期: 2018-07-13 15:02:10

开发者信息

Ace_MXS
建筑设计,室内设计,3D动画
1398 561 30
打赏开发者 已有 10人打赏过

开发者Ace_MXS推荐您下载CG工具箱!

立即查看,已经有0人下载过!

推荐工具

请先将工具分享到您的微博,QQ空间等,再抢红包