用 镜像劫持 技术 对付一些小病毒

转自：http://tieba.baidu.com/f?ct=335675392&tn=baiduPostBrowser&sc=3089509323&z=306699323&pn=0&rn=50&lm=0&word=%B2%A1%B6%BE#3089509323

针对杀毒软件，有的病毒采用了一种技术叫镜像劫持。通过这种技术可以很容易的将杀毒软件置于死地。
方法很简单：你可以打开注册表（开始-》运行-》输入regedit回车)。依次展开HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions，在这里新建一个以杀毒软件主程序命名的项（例如avp.exe)，然后在这个项下（注册表编辑器的右边）建一个字符串类型的键debugger设置它的值为病毒的程序名。以后每次启动AVP.exe都会执行在debugger键下的恶意程序。avp自己不在启动。。。avp就这样挂掉了。。

利用这种方法，我们可以用来终止某些恶意的程序的启动。
你可以在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions建立一个恶意程序的项然后新建一个字符串键值debugger让它的数据等于1.bat。这样以后每次启动恶意程序，都会运行1.bat。

1.bat可以这样来做。新建一个文本文档，不要输入任何东西，另存为1.bat就行。。注意它的后缀。。

1.bat存放在c:/windows/system32下

-------------------------------------------------------------------

@echooff
title简易病毒免疫工具

color1f

if/inotexist%windir%/Warning.batgotoWarning

:start
cls
echo输入你想要免疫的病毒文件名（例如:virus.exe）：
set/pfn=
regadd"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions/%fn%"/vdebugger/treg_sz/d%windir%/Warning.bat/f>nul2>nul
cls
echo免疫成功！按任意键返回！
pause>nul
gotostart

:Warning
echo@echooff>%windir%/Warning.bat
echotitle警告!>>%windir%/Warning.bat
echocolor4f>>%windir%/Warning.bat
echoecho>>%windir%/Warning.bat
echocls>>%windir%/Warning.bat
echoecho刚才有一个非法程序试图运行，请立即检查计算机！>>%windir%/Warning.bat
echopause>>%windir%/Warning.bat
gotostart