又一个简单另类的干掉杀软方法

真诚走天涯

提到病毒封杀杀毒软件的方法很多人大概都会想到注册表的映象劫持或停止杀软服务等等吧,事实条条大路通罗马,封杀安全工具的路有很多,除了以前介绍的建立文件方法http://www.killdu.cn/jiqiao/1107.html, 今天再给大家介绍一种差不多方法的病毒对抗杀软简单的手段

首先,我们在杀软目录下新建一个文件或文件夹,命名为"程序名字.EXE.MANIFEST",如我这里进入金山清理专家2.7的安装目录,金山清理专家主程序名为kasmain.exe



在该目录下我们新建一个文件,.命名为"kasmain.exe.manifest"


建立完毕后,我们再试图打开清理专家时,会弹出错误提示


就是这么简单,它和建立WS2_32.DLL文件阻止程序运行有些相似之处,  不过危害却甚之
因为经过测试,该方法不仅能阻止大多数软件运行,甚至能破坏系统程序的运行,比如EXPLORER.EXE和taskmgr.exe等
如图,建立taskmgr.exe.manifest后,任务管理器已经无法打开


如果以此方法禁止了任务管理器和EXPLORER.EXE程序,那将导致,重起机器后无法显示桌面,也不能打开资源管理器等,那可能相当麻烦了
当然它也可以作为病毒免疫的方法,比如病毒VIR.EXE 总是在各个盘根目录下出现,那我们可以去根目录建立VIR.EXE.MANIFEST文件来免疫阻止其运行
至于更多其他的扩展运用就由大家继续发掘了
原文链接：http://www.killdu.cn/zhishi/2612.html

itown

沙发，没看懂，不过病毒貌似不会这样做，金山清理不是杀软吧

zx_pk

不明白LZ的意思？！

forlink1984

手动可以实现的，病毒无法实现

myimee

又学到了一点，太菜了

Atlantis祭司

貌似论坛里有人曾经转过了。http://bbs.kafan.cn/thread-478203-1-1.html

zenvi

此方法对江民杀毒软件无效，因为KV禁止在其安装文件夹中新建，修改，删除文件

cucme

按照LZ说法

如果以此方法禁止了任务管理器和EXPLORER.EXE程序,那将导致,重起机器后无法显示桌面,也不能打开资源管理器等,那可能相当麻烦了
当然它也可以作为病毒免疫的方法,比如病毒VIR.EXE 总是在各个盘根目录下出现,那我们可以去根目录建立VIR.EXE.MANIFEST文件来免疫阻止其运行

以前发现在我的Maxthon目录里有一个manifest文件


从来没有发现有什么问题。本来就此打住准备质问楼主，忽然看到楼主说的是根目录
我决定试验一下：
我有一个706K的绿色音乐播放软件AIRPLAY（http://www.podez.com），很小很精悍。


就以它为例试验一下



复制到D盘根目录
复制文件，重命名成Airplay.exe.manifest
双击打开
出现对话框


楼主所说的情况

当然它也可以作为病毒免疫的方法,比如病毒VIR.EXE 总是在各个盘根目录下出现,那我们可以去根目录建立VIR.EXE.MANIFEST文件来免疫阻止其运行

由此可见是可能实现的，但是还不如命令行批处理方便。
然而如楼主所愿望的

如果以此方法禁止了任务管理器和EXPLORER.EXE程序,那将导致,重起机器后无法显示桌面,也不能打开资源管理器等,那可能相当麻烦了

是基本上不会发生的.......
EXPLORER.EXE等重要的系统程序文件都在在C:\windows等目录里
杀毒软件也都装在自己的目录里
我实在是想不到还有这样的情况发生，
有人专门把很重要的程序文件直接装在硬盘根目录下，

-------------------------
如楼主所说的干掉杀软
我觉得有一点一千零一夜了

-------------------------------
ps:其它要说的话

manifest具体用处不清楚，在http://www.debugman.com/read.php?tid=325处发现

在Vista操作系统中通过manifest文件使VC应用程序获得管理员权限
VC编译出来的应用程序在vista下运行，有可能因为权限问题，不能成功运行。
用以下办法，给应用程序添加一个manifest文件，程序运行时系统就会跳出UAC对话框，获得管理权限。
1.打开应用程序的源代码工程
2.添加一个“custom”资源,"resource type"填24,把资源ID改为1，然后把以下内容复制到资源内容中保存
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
  version="1.0.0.0"
  processorArchitecture="X86"
  name="mulitray.exe.manifest"
  type="win32"
/>
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
  <security>
    <requestedPrivileges>
        <requestedExecutionLevel level="requireAdministrator" uiAccess="false"/>
    </requestedPrivileges>
  </security>
</trustInfo>
</assembly>
3.重新编译应用程序，此时会发现，广用程序的图标在vista下会多出一个小盾标志。

------

manifest - 显然的,明白的,清楚的

-------------------------------------------------------------
刚开始不知道是老帖子
去看了http://bbs.kafan.cn/thread-478203-1-1.html
据说Vista无效
我不知道具体是什么情况,也没有试别的软件
刚才的Airplay是绿色软件，使用的是Vista的普通用户权限

[ 本帖最后由 cucme 于 2009-5-16 21:02 编辑 ]

王子带着刀

你还真。。。。。。。。。。

xieyun

好多的杀软的自我保护机制不会允许你在他目录下加入文件的。