反映像劫查杀病毒技巧(图)_安全中国_全球最大网络安全培训门户

　　了解了大概的原理，这又和我们杀毒有什么关系吗?病毒不还是在那里，你杀毒软件还是启动不了啊!先别急，听我把话说完。通过分析之前的sreng或者auroruns日志我们可以知道病毒文件的名称，比如：rundl132.exe那样我只需要把他劫持掉，重启计算机以后他便再也启动不了了。假设你电脑里面只有一个autorun病毒rsing.exe，一双击盘符便会加载。那样你只需要劫持掉它一个文件就行，重启后删除它以及autorun.inf文件即可。经我测试，只要你把所有病毒文件集体绑架到让他们无法证行运行的程序上面即可。重启后即使你没事闲得去点它，他也不会启动。相当于在恐怖分子登机前你先把他们找到，之后拉警署去蹲两天。

　　『注册表』

　　讲了半天原理和比方，那么我们怎样去劫持呢?如果是本机中毒，直接使用注册表编辑器即可。如下图：　

　　点击桌面左下角的【开始】-【运行】-输入“regedit”-【确定】后即可打开注册表编辑器。在左侧的树状结构目录中依次展开到：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

　　1.在右侧新建【项】为“病毒”.exe(病毒指代的是通过检测报告得知的病毒名，当然你对系统了解的话可以直接去关键目录找那些病毒文件从而得知病毒名)

　　2.在【项】里面右键新建【字符串值】为“debugger”

　　3.双击打开这个新建的“debugger”将数值数据填写为你要劫持到的程序。(一般我选用C:\windows\system32\syncapp.exe这个系统自带程序因为它劫持以后报错少)

　　如果不是本机中毒，尤其是给不了解电脑的朋友分析病毒报告之后，想要指导对方修改注册表的话，一般在我看来是一个比杀毒本身还要艰巨的工程。这样的话，我们可以通过编写reg文件导入即可。编写的方法如下：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\病毒.exe]

　　"debugger"="C:\\windows\\system32\\syncapp.exe"

　　用记事本保存为.reg后缀，导入计算机重启后即可。

　　此方法对于有进程监控的病毒同样具有很好的效果!比如我们通过三方工具查看到进程互为监守，结束任何一个的话另一个会自动生成。如下图：

　　一般通过三方工具去批量结束监守进程或者卸载某些模块会有一定风险，对操作者的水平也有一定要求。那么如上图所示我们已经知道的坚守进程的的名称何不把他劫持掉重启之后再删除呢? TQt{.{nI

　　按照上面的方法编写注册表文件

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\eleicnd.exe]

　　"debugger"="C:\\windows\\system32\\syncapp.exe"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\asgwmne.exe]

　　"debugger"="C:\\windows\\system32\\syncapp.exe"

　　另外还可以通过批处理编写劫持，但是理解起来可能会困难些，暂时不做介绍。

　　关于劫持病毒的注意事项：

　　假如病毒伪装成系统关键进程名一定不要劫持!例如:winlogon.exe, lsass.exe,csrss.exe等。

　　倘若你劫持了winlogon.exe的话你的系统将不会启动，劫持svchost.exe的话会有许多系统异常。还是那个比方，本身都是飞机。假如你要是没事闲得把“空军一号”劫持了触动了核按钮，那样的话整个地球将陪你玩完!

　　以上方法的确是可以有效处理常规病毒以及木马，但是AV病毒干掉了你杀毒软件怎样修复呢?既然av病毒通过映像劫持干掉了杀毒软件，我们也通过此法干掉了病毒。为杀毒软件解锁的方法同样是靠注册表的方法即可实现。

　　还是打开注册表编辑器定位到那个位置，删除例如：Kav32.exe的杀毒软件相关进程即可。

　　解锁的reg编写如下：

　　Windows Registry Editor Version 5.00

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe]

　　(注：为毒霸解锁不只是这两个程序,再此仅仅是举个例子)

　　由此可知，我们能够在飞机撞毁大楼前将人质，将我们的杀毒软件解救出来!

　　『批处理』

　　之前说过不提供批处理的劫持方法，为何还要就这个关键词?别忘了病毒只是被我们劫持掉，但还是实际存在的。恐怖份子被逮捕后，终归要判刑的。和谐的操作系统，不需要这些不和谐的东西。批处理的写法暂时也不提供复杂的语句，用最简单方法同语句去处理我们的病毒问题。

　　先前通过映像劫持修改注册表或者导入reg后重启电脑，之后再去相应文件夹下删除或者编写批处理删除。编写的方法如下，用记事本保存为.bat格式后即可。

　　del 病毒文件路径

　　rd 病毒释放文件夹路径

　　假设删除autorun病毒文件rising.exe以及在杀毒软件目录下释放的ws2_32.dll\1..\目录

　　del d:\autorun.inf

　　del d:\rising.exe

　　rd c:\kav2007\ws2_32.dll

　　经过以上论述，相信有一定计算机基础的用户或者同事已经基本明白个大概了。具体操作还要见招拆招。学会分析各种日志，假如明天给你换一个同样是三方工具的syscheck的日志呢?万变不离其踪，慢慢学习好了。此方法不能解决所有病毒问题但却是一个简化操作难度的好方法。毕竟你只需要会写简单的reg和bat文件就可以了，而用户那边只需要导入reg后重启计算机，重启后运行bat即可。

上一页 1 2