用注册表映像劫持巧治病毒
新客网 XKER.COM 2008-04-23 来源: 甲午魂 收藏本文
现在病毒都会采用IFO的技术,通俗的讲法是映像劫持,利用的是注册表中的如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置来改变程序调用的,而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。事物都有其两面性,其实,我们也可以利用该键值来欺瞒病毒木马,让它实效。可谓,将计就计,还治其人。
下面我们以屏蔽某未知病毒KAVSVC.EXE为例,操作方法如下:
第一步:先建立以下一文本文件,输入以下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
”Debugger”=”d:\\1.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
”Debugger”=”d:\\1.exe”
(注:第一行代码下有空行。)
第二步:将以上文本另存为1.reg,双击1.reg以导入该reg文件,确定。
第三步:点“开始→运行”后,输入KAVSVC.EXE。
提示:1.exe可以是任意无用的文件,是我们随意创建一个文本文件后将后缀名.txt改为.exe的。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置来改变程序调用的,而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。事物都有其两面性,其实,我们也可以利用该键值来欺瞒病毒木马,让它实效。可谓,将计就计,还治其人。
下面我们以屏蔽某未知病毒KAVSVC.EXE为例,操作方法如下:
第一步:先建立以下一文本文件,输入以下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
”Debugger”=”d:\\1.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
”Debugger”=”d:\\1.exe”
(注:第一行代码下有空行。)
第二步:将以上文本另存为1.reg,双击1.reg以导入该reg文件,确定。
第三步:点“开始→运行”后,输入KAVSVC.EXE。
提示:1.exe可以是任意无用的文件,是我们随意创建一个文本文件后将后缀名.txt改为.exe的。
上一篇:AUTO病毒群分析以及解决方案 下一篇:“艾妮”感染型病毒下载器的解决
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
- 彻底清除Infostealer.Gampass病毒
- appinit_dlls病毒清除办法
- wuauclt.exe病毒解决方案
- 最新ctfmon.exe病毒的查杀解决方法
- 最新清除w32.looked.bk病毒的查杀解决方法
- igm.exe病毒木马清除办法
- 如何解决Hacktool.Rootkit病毒的删除方法
- 手动清除最近横行的熊猫烧香病毒
- 清除ati2evxx.exe木马病毒
- Hack.Exploit.JS.Agent.o病毒解决方案
- U盘病毒Windows.scr(Win32.Downloader.b)分析及
- WINLOGON.EXE病毒彻底清除方案
- rundl132.exe 9sy.exe 8Sy.exe logo1_exe 解决方
- 2分钟搞定autorun.inf和ghost.pif病毒!
- trojan.exploit.131病毒查杀清除及专杀工具
随机推荐
实用信息推荐