3dmax病毒报告

本文由trykle原创，转载请注明出处。

原文地址：3dmax病毒报告

【推荐】高度免疫病毒【绿色守护】：http://tk.v5cg.com/tools/1021.html

目前行业流行的病毒样本我所知道的有且只有两种，且都是通过模型传播，以后有新的毒源报告会更进。

1号病毒，代号：CRP


【病毒特征】
打开模型后删除灯光，材质替换为默认材质，劫持撤销导致崩溃，感染本地脚本。函数名以CRP开头命名。

【执行过程】
通过保存在模型中的全局回调，在打开模型的时候，将事先藏在模型里的代码写入脚本自启动目录的第一个.ms脚本，第一个脚本将作为宿主成为背锅者，让大家以为这个病毒都是某个插件带来的，有点类似蠕虫病毒特征。

【恶意程度】
★★★☆☆
分析暴露的代码内含有简单的与病毒代码写法智商不一样的注册判定，将使用MAX的所有用户定义为非注册用户。

【解决办法】
1.将第一脚本启动目录startup里的第一个被感染脚本内代码删除，新建一个名为..ms的文件，并将其属性设置为只读；
2.清除每个被感染场景的回调。
3.迎合秒解法：定义一个变量CRP_Authorization = true ，能直接压制，之后再慢慢清理回调，不迟。


2号病毒，代号：ALC
【病毒特征】
打开模型后撤销奔溃，函数名以AutodeskLicSerStuckCleanBeta等模拟官方样式命名。

【执行过程】
通过放置在特定模型里的脚本控制器，当用户选择物体时，向第二自启动目录startup写入文件，并且劫持撤销操作，创建钦定的辅助物体，写入脚本控制器代码，隐藏自己，循环往复。

【恶意程度】
★★★★☆
分析暴露的代码全是恶意事件，病毒作者想尽一切办法想让你场景卡死。

【解决办法】
1.在第二自启动目录startup里，新建三个空文件，vrdematcleanbeta.ms ， vrdematcleanbeta.mse ， vrdematcleanbeta.msex，并将其属性设置为只读；
2.清除场景内辅助物体（此恶意的代码的辅助物体为Point类型）的脚本控制器，或将其直接删掉；
3.清理场景回调。
4.虽然此病毒满怀恶意，不过还是留了一手，只要检测到场景中有特定名字的辅助物体就不会继续下一步操作，所以破解的思路就是。。。算了，难度较大，光是那几个乱码空格字符就能难倒一堆人，还不包括2013版本上下的自动转码。


3号“病毒”，代号：西山居
【病毒特征】
*：此病毒其实并非病毒，据说是金山公司（对，没错就是那个金山）某个游戏部的内部插件，可能用于结合3dmax与引擎的测试工作，每一步都需要交互传送数据。
不知怎么流传出来了，导致复制物体时异常卡。

【执行过程】
回调

【恶意程度】
★☆☆☆☆
分析暴露的代码为游戏正常脚本。

【解决办法】
1.3dmax根目录搜索propertyparameterslocal.mse，删掉他，重启MAX。

阅读扩展：
1.3dmax病毒检测插件：http://tk.v5cg.com/tools/1022.html

2.快速查看Max各目录插件：（也就是上面说的第一第二目录）http://tk.v5cg.com/tools/1013.html

3.移除回调的代码为：
callbacks.removeScripts() --移除所有
callbacks.removeScripts id:id变量名  --移除特定id回调

4.Q：这些病毒有办法去根吗？
A：这个夏天非常的热，只有开着空调才凉快，一旦关了空调，还是热。

5.如何不让模型里的代码在打开的时候运行（副作用：渲染帧窗口区域渲染等按钮消失，可用于救急，解除病毒后再打开。当然他并不能清理掉模型里的代码，此回调非彼回调，3dmax回调类型至少有5种以上）




如果您也遇到病毒却无法解决，请加入TK用户②群：217264496

关于病毒相关事件：

3dmax病毒查杀插件专题
关于MAX病毒的恶意诽谤， 我们有话要说！
【TK活动】7·7MAX无毒日 别让自己的心中毒！