杀毒软件被“杀” 连声“救命”都没喊

huxiqiuzhen

作者: 甘肃/老五, 　出处:IT专家网,　责任编辑: 刘志坡,　 2007-12-17 09:40

资料来源 http://winsystem.ctocio.com.cn/windowssecurity/466/7720966.shtml
杀毒软件“出师未捷身先死”，确实有些窝囊。这除了自身的原因外，我们应该从系统找找根源，让它更健壮，使它名副其实，至少在被杀之前喊声“救命”……

　　现在的木马、病毒融入了很多最新的技术，系统中的杀毒软件纷纷被“杀”，竟然连声“救命”都没有来得及喊，就悄无声息地倒下了。这让崇尚安全第一的我们怎么忍受?杀毒软件“出师未捷身先死”，确实有些窝囊。这除了自身的原因外，我们应该从系统找找根源，让它更健壮，使它名副其实，至少在被杀之前喊声“救命”!
　　一、案例追踪
　　案例一：卡巴斯基被“咔嚓”了
　　1.症状：桌面右下角的卡巴斯基的图标变灰，系统安全实时监控停止，系统时间被改。双击卡巴图标提示：授权过期，购买新的授权文件。更改回系统时间，卡巴斯基图标变红，但不一会再次变灰，系统时间也被改。(图1)
　　
　　图1
　　2.原因：卡巴斯基的正版认证方式成了卡巴的软肋。由于卡巴斯基会为了防止盗版，实时检测系统日期，以判断软件是否已经超过授权的使用期限。当发现软件许可过期时会立即关闭所有的监控，同时主程序也无法扫描病毒，并且需要用户输入新的序列号。所以这是没办法的事，一直以来卡巴都如此!因此只要一个批处理文件，就“杀”死了卡巴。
　　@echo off
　　set date=%date%
　　date 1987-02-06
　　ping -n 45 localhost > nul
　　date %date%
　　病毒、木马在运行之前，先释放并运行类似的脚本文件，解决掉卡巴，然后自己大摇大摆地进驻系统。
　　3.救治：
　　第一步：更改回系统时间。(最好在安全模式下。)
　　第二步：在“开始菜单”→“运行”(里输入gpedit.msc，打开组策略，依然选择“计算机配置→windows设置”→安全设置→本地策略→用户权利指派→更改系统时间”(右边)，然后双击(或者是右键单击，选择“属性”)打开“更新系统时间配置”属性对话框，把里面所有权限用户名全部删除，然后点击确定，重启计算机。这样做的原理是取消用户更改时间的权限，因为病毒大都是以当前用户的权限运行的，用户没有相关权限，病毒、木马也就不能。

huxiqiuzhen

第三步：重启系统后卡巴斯基就可以运行，进行全面杀毒。手工清除注册表中的自启动项下的相关键值。　　提示：一旦删除，时间就可以得到保障，将来如果想要更改时间的话，可以通过添加用户和组来新建一个帐户，然后就可以更改时间了。或者在组策略中恢复用户更改时间的权限。(图2)
　　
　　图2
　　案例二：瑞星被劫持
　　1.症状：开机后瑞星实时监控没有运行，打开“任务管理器”，没有与瑞星相关的进程。快捷方式运行瑞星没有任何反映。到瑞星的安装目录下，目录下的文件没有更改或者删除的迹象。
　　2.原因：WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查注表"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"项下该命令对应的程序文件，如果有就执行对应的程序文件，没有的话执行真正的程序文件。因为这个注册表项的优先级高，因此就会产生欺骗，也就是映像劫持。瑞星2008比较好地杜绝了taskkill、ntsd命令对其进程的操作，但没有解决映像劫持。病毒木马通过添加相关的项，让自己运行而瑞星不能运行。然后病毒、木马就可以屠城了，对系统肆意杀戮，当然包括瑞星。
　　比如通过一个批处理就可以让QQ劫持瑞星：
　　@echo off
　　reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe"
　　reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe" /v RavTask.exe /t REG_EXPAND_SZ /d %*%
　　exit
　　注：*为你的QQ主文件的路径。

huxiqiuzhen

　3.救治：　　权限限制法：
　　如果用户无权访问该注册表项了，它也就无法修改这些东西了。打开注册表编辑器，进入
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ，选中该项，右键→权限→高级，将administrator 和 system 用户的权限调低即可(这里只要把写入操作给取消就行了)。(图3)
　　
　　图3
　　快刀斩乱麻法 ：
　　打开注册表编辑器，进入把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项，直接删掉 Image File Execution Options 项即可解决问题。 (图4)
　　
　　图4

huxiqiuzhen

　案例三：毒霸被Kill　　1.症状：金山毒霸的进程被结束，桌面下的毒霸图标变灰或者消失，实时监控实效。系统启动后提示：“运行环境不完整,可能发生文件损坏,建议重新安装金山毒霸或在线升级!”
　　2.金山毒霸2008以前的版本，对于自身进程的保护做得很差，运用命令就可以轻易地结束其进程，停止其服务。
　　taskkill /f /im kav32.exe
　　ntsd -c q -p #
　　提示：kav32为毒霸的进程名，#为毒霸进程的PID
　　3.救治：
　　升级法：把金山毒霸升级到2008。经测试，不能结束进程。(图5)
　　
　　图5
　　文件法：如果你不想升级，那就把taskkill、ntsd命令改名或者删除。
　　二、“救命啊!我要被Kill了!”
　　无知不是罪，但不知却很可怕。敌人进入你的电脑你却浑然不知!总是在几天之后才发现，杀软早就悄无声息地被人干掉了，机子里充满了病毒。是呀，网上充满了各种木马、病毒加花加壳加草的方法，躲过杀软的监控，成功运行后，杀软便成了刀俎鱼肉，第一个被人干掉，不经意间你可能才会发现杀软的图标早就不见了，但是也晚了。那么杀软才被干掉的一瞬间，能不能让它喊一声救命再死呢?让我们好第一时间拯救它!
　　1.脚本文件法：
　　打开记事本，输入下面脚本代码(下面代码以瑞星为例)：
　　strComputer = "."
　　Set objWMIService = GetObject("winmgmts:" _
　　& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
　　Set colMonitoredProcesses = objWMIService. _
　　ExecNotificationQuery("select * from __instancedeletionevent " _
　　& "within 1 where TargetInstance isa 'Win32_Process'")
　　i = 0
　　Do While i = 0
　　Set objLatestProcess = colMonitoredProcesses.NextEvent
　　If objLatestProcess.TargetInstance.Name = "RavMon.exe" Then
　　Wscript.Echo "注意：瑞星杀毒软件已经被关闭!!! 进程名：" & objLatestProcess.TargetInstance.name
　　end if
　　Loop
　　将第十行中的RavMon.exe替换成自己所使用的杀毒软件进程名，一定要注意大小写，第十一行中的中文字也可以自己写。然后依次单击“文件”→“另存为”，将其保存为*.vbs文件，双击运行即可开始对杀毒软件的监视，最好放到Windows启动文件夹中(C:\Documents and Settings\All Users\「开始」菜单\程序\启动)，这样每次开机都会自动对杀毒软件进行监视，如果想要停止监控只要结束wscript.exe进程即可。

huxiqiuzhen

　If objLatestProcess.TargetInstance.Name = "进程名1" or bjLatestProcess.TargetInstance.Name = "进程名2" or objLatestProcess.TargetInstance.Name = "进程名3" (......)Then。　　在虚拟机上测试成功!(图6)
　　
　　图6
　　2.第三方工具法：
　　软件名称：任务管理器增强工具
　　下载地址：http://gzcnc.onlinedown.net:82/down/mtmsetup.exe
　　操作步骤：(以瑞星为例)
　　第一步：打开并运行“任务管理器增强工具”，在“监视进程”选项卡下，勾选“监视下列进程，当进程死亡后立即启动”，然后通过“浏览”、“添加”按钮添加需要监视的进程。
　　第二步：添加三个瑞星关键进程文件RavMon.exe、RavMonD.exe、CCenter.exe，并点击“保存”按钮。
　　第三步：随便运行一个程序，并在任务管理中结束它，提示“无法结束!”。
　　提示：其他杀毒软件的进程保护类似，就是把该杀毒软件的进程文件添加进去就可以了。
　　这样，有了它的监视，在杀软不幸后可以告诉我们一声。(图7)
　　
　　图7

huxiqiuzhen

三、让杀毒软件起死回生!　　听到了杀毒软件临终前的救命声，它倒下了，你总不能让你的机子在网上“裸奔”吧?那如何让它起死回生呢?(本文以瑞星的修复为例，其它杀毒软件的修复类似。)
　　第一选择：自我修复
　　运行瑞星“添加删除组件”程序，选择“修复”点击“下一步”，如果顺利的话很快就完成修复过程。(图8)
　　
　　图8
　　第二选择：手工修复
　　先删除c:/ windows /rav.ini文件,然后退出瑞星“实时监控”。运行“services.msc”进入服务管理器，停止瑞星的相关服务：Rsccenter、RsRavmon。打开瑞星安装目录找到其中的一个updata文件夹.直接双击里面的setup.exe,过后会弹出如图9的窗口，选择“添加删除安装”选项点击“下一步”，一路“下一步”，如果中途有什么错误提示就点选择“取消”以调试方式继续，(提示:这种情况就是我们前面的第一步为什么要停止瑞星服务的原因),以强行继续方式安装。完成安装后重新启动计算机，瑞星应该正常了。(图9)
　　
　　图9

huxiqiuzhen

第三选择：重新安装　　如果前面的方法无效，那只有重新安装了。重新安装你不会是把安装光盘插入光驱这样安装吧，那你升级病毒库就太费时间了!最好的方法是在一台安装有瑞星并且病毒库为最新的电脑上执行“瑞星安装包制作程序”，制作一份有最新病毒库的瑞星安装文件，然后用U盘在你自己的电脑上安装。这样你的病毒库就是最新的了，省去了升级的麻烦。(图10)
　　
　　图10
　　四、总结:杀毒软件经历从被“杀”到喊“救命”直至“复活”的漫长过程，这一切都是由人导演的。因此提高自身的水平才是关键。

sharkkong

改时间锅卡巴的就要失效了，我用的是321的，嘿嘿，无论怎么改时间，卡巴的保护依旧有效

冰剑情仇

进来学习

mycgz2001

这些杀毒软件怎么自己防治一下呢?  还要我们自己动手