转火狐tank的文章
http://wrsky.com/viewthread.php?tid=12256&highlight=pcshare

pcshare　0810　怀胎生产全过程简列:

    本“故事”纯属娱乐　为搏大家一笑:

  　头生出来的时候偷偷地插入svchost(也就是胎盘) 分配基址为0x10000000 “分配它自己的空间　不然“住”不进去”

　　然后弄出两个小手

　　分别在%systemroot%\system32\8位字母随机.dll和%systemroot%\system32\drivers\8位字母随机.sys

　　由于生产配置时取名字各一(看生成的“妈妈”喜欢叫啥就叫啥)　默认生产时小手长的一样　

　　例某胎默认小手为

　　%systemroot%\system32下“zfogrzop.dll
    %systemroot%\system32\drivers\“zfogrzop.sys

　　小手长的一样　因为hook的原样　嘿嘿。。。　

　　然后再弄出两只小脚　

　　写入注册表

　　由于生产配置时取名字各一(看生成的“妈妈”喜欢叫啥就叫啥)
　　
　　HLM\SYSTEM\CurrentControlSet\Services\妈妈自己命名　启动值为2　为随机启动
　　HLM\SYSTEM\CurrentControlSet\Services\8位字母随机　　启动值为2　为随机启动

　　最后利用svchost来穿墙　也就是有个小DD可以尿尿

　　定时打出一条线程为了找“妈妈”“喝奶”　跟母体“通讯”　时隔为5秒左右

　　如果找不到就关闭　一直循环

　　“妈妈”叫它走哪间WC　它就要打到哪里　

　　默认为3030号　流行改为8080　8000　80　8088　

　　总之不是三就是八　。。。。　

　　
　　Over ~~~

　　接下来T4nk为“计划生育”带来福音。。。

    知道生产过程了　为了保护我们pc　我们要断开它和母体的通讯　中国是人口大国　

　　要“计划生育”　所以只能把牺牲小我完成大我

　　哈哈

　　准备工具：　剪刀一把　够了（syscheck）

　　先把胎盘处理了　剪了　

　　kill掉svchost　也就是宿主

　　这样它跟母体通讯也就断了　然后再来个“断手断脚”

　　在－服务管理－里把8位随机名或自定义名的服务名来个

　　一刀剪　嘿嘿

　　先把驱动除了(xxxxxxxx.sys)　右键－删除服务及文件

　　除掉后我们看到状态　8位随机服务器　移除

　　再把xxxxxxxx.dll除了

　　操作一样　

　　过程结束　轻松简单

　　娱乐结束　收工