在此之间,先来个熊猫烧香的部分介绍:
病毒尝试关闭安全软件相关窗口:
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木馬清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword
尝试结束安全软件相关进程以及Viking病毒进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
杀软自身的保护无疑是很重要的...
而咖啡的进程当中 Mcshield.exe 是核心进程,只要这个进程不肥结束,就按访问扫描和文件访问规则都有效.
所以必须保护Mcshield.exe这个进程不被结束,咖啡虽然有自我保护,但那个保护并不够强...
从病毒的结束过程来看,应该是先通过搜索运行的窗口的标题来判断杀软,进而结束窗口...咖啡的Mcshield.exe进程是以服务启动的,没有界面窗口,所以这个不需要防范,直接跳过..
然后病毒会搜索进程名,这个时候咖啡的Mcshield.exe进程就容易被干掉了....
这里可以使用ssm等带AD功能的hips保护咖啡,不过麻烦了点...
想了个办法,就是改变咖啡Mcshield.exe进程的名字,病毒就无法发现这个进程,自然就不会结束了...
进程名是由文件名决定的,所以开始动手:
关闭咖啡的所有服务,进程...
打开安装咖啡的文件夹,找到Mcshield.exe,改个名字,这里假设改成123456.exe
打开注册表,搜索Mcshield.exe,把搜索到的全部改成123456.exe(保证服务启动的时候能找到文件)
OK,重新启动计算机,你查看进程,发现Mcshield.exe进程已经没有了,而咖啡正在工作..
我测试了下,基本没啥大问题,因为咖啡的其他进程基本不需要和 Mcshield.exe这个进程通讯.....不过有待大家进一步发现问题
(有个小问题:任务管理器里面,手动结束123456.exe时,进程没有被结束,但咖啡并没有提示有进程尝试关闭咖啡 ..-----不过这个问题好像不大)
原创的,斑斑加点分 |