转自:http://tieba.baidu.com/f?ct=335675392&tn=baiduPostBrowser&sc=3089509323&z=306699323&pn=0&rn=50&lm=0&word=%B2%A1%B6%BE#3089509323
针对杀毒软件,有的病毒采用了一种技术叫镜像劫持。通过这种技术可以很容易的将杀毒软件置于死地。
方法很简单:你可以打开注册表(开始-》运行-》输入regedit回车)。依次展开HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions,在这里新建一个以杀毒软件主程序命名的项(例如avp.exe),然后在这个项下(注册表编辑器的右边)建一个字符串类型的键debugger设置它的值为病毒的程序名。以后每次启动AVP.exe都会执行在debugger键下的恶意程序。avp自己不在启动。。。avp就这样挂掉了。。
利用这种方法,我们可以用来终止某些恶意的程序的启动。
你可以在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions建立一个恶意程序的项然后新建一个字符串键值debugger让它的数据等于1.bat。这样以后每次启动恶意程序,都会运行1.bat。
1.bat可以这样来做。新建一个文本文档,不要输入任何东西,另存为1.bat就行。。注意它的后缀。。
1.bat存放在c:/windows/system32下
-------------------------------------------------------------------
@echooff
title简易病毒免疫工具
color1f
if/inotexist%windir%/Warning.batgotoWarning
:start
cls
echo输入你想要免疫的病毒文件名(例如:virus.exe):
set/pfn=
regadd"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions/%fn%"/vdebugger/treg_sz/d%windir%/Warning.bat/f>nul2>nul
cls
echo免疫成功!按任意键返回!
pause>nul
gotostart
:Warning
echo@echooff>%windir%/Warning.bat
echotitle警告!>>%windir%/Warning.bat
echocolor4f>>%windir%/Warning.bat
echoecho>>%windir%/Warning.bat
echocls>>%windir%/Warning.bat
echoecho刚才有一个非法程序试图运行,请立即检查计算机!>>%windir%/Warning.bat
echopause>>%windir%/Warning.bat
gotostart
分享到:
相关推荐
针对一些病毒镜像劫持杀毒软件的修复工具,里面一共有三个工具。
sethc.exe新的镜像劫持技术和安全防御!(shift后门).docx
用来扫描及修改系统内的镜像劫持文件
端口镜像技术介绍,主要讲了本地端口镜像跟远程端口镜像
OKHY结束进程及压制器,应用镜像劫持屏蔽特定EXE文件运行
CentOS6.7 Docker最小版镜像 最小版的CentOS6.7,安装了openssh、wget、vim、target,用户名:root/root
烟雨黑帽SEO技术程序演示-小偷镜像程序视频演示-镜像站群有一并开发-有需要镜像站群可联系烟雨QQ81047380【此资源只有黑帽SEO镜像程序的视频演示-下载前须知】【此资源只有黑帽SEO镜像程序的视频演示-下载前须知】...
mysql5.7镜像;mysql5.7镜像;mysql5.7镜像;mysql5.7镜像
极简(最小)JDK1.8 Docker镜像包,里面包含apk,wget,curl等命令
架设工具含镜像架设工具含镜像架设工具含镜像架设工具含镜像架设工具含镜像架设工具含镜像架设工具含镜像架设工具含镜像架设工具含镜像架设工具含镜像架设工具含镜像架设工具含镜像架设工具含镜像架设工具含镜像架设...
读ISO镜像工具 一个很小的读镜像的软件 不到300KB 但是很好用
nginx镜像资源nginx镜像资源nginx镜像资源nginx镜像资源nginx镜像资源nginx镜像资源
轨道车辆焊接作业程序镜像技术研究,程序镜像技术研究
使用的是JRE不是jdk。 这个是镜像压缩包,需要用docker命令解压成镜像方可使用。算是最小的Java环境镜像。 时间过了好几年了,不知道还能不能用,下载积分调成0了,按需下载.
一般我们会使用镜像加速或者直接从国内的一些平台镜像仓库上拉取。 我比较常用的是网易的镜像中心和daocloud镜像市场。 网易镜像中心:https://c.163.com/hub#/m/home/ daocloud镜像市场:...
工具镜像工具镜像工具镜像工具镜像工具镜像工具镜像工具镜像
虚拟机win10iso镜像文件下载.zip,虚拟机win10iso镜像文件下载.zip,虚拟机win10iso镜像文件下载.zip,虚拟机win10iso镜像文件下载.zip,虚拟机win10iso镜像文件下载.zip,虚拟机win10iso镜像文件下载.zip,虚拟机...
第一步,插入你要制作DOS启动的U盘,前提是我们已经安装了UltraISO,然后打开镜像文件:DOS+AWD最小镜像 点击启动,写入硬盘镜像 在硬盘启动器那里选择好你要写入镜像的U盘,写入方式:这里个人推荐的是USB-ZIP+...
mysql5.7安装教程+mysql5.7镜像安装+mysql学习+mysql5.7镜像包 mysql5.7安装教程+mysql5.7镜像安装+mysql学习+mysql5.7镜像包 mysql5.7安装教程+mysql5.7镜像安装+mysql学习+mysql5.7镜像包 mysql5.7安装教程+mysql...
IMG镜像加载小工具-------------------IMG镜像加载小工具