扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
操作:
第一步:启动命令提示符,输入“ftype exefile=notepad.exe %1”,把所有EXE程序打开方式关联到记事本程序,重启系统后我们会发现桌面自动启动好几个程序,这里包括系统正常的程序如输入法、音量调整程序等,当然也包括恶意启动的流氓程序,不过现在都被记事本打开了。
第二步:根据记事本窗口标题找到病毒程序,比如上例的systemtray.exe程序,找到这个记事本窗口后,单击“文件→另存为”,我们就可以看到病毒具体路径在“C:\Windows\System32”下。现在关掉记事本窗口,按上述路径提示进入系统目录删除病毒即可(见图4)。
图4
第三步:删除病毒后就可以删除病毒启动键值了,接着重启电脑,按住F8,然后在安全模式菜单选择“带命令提示的安全模式”,进入系统后会自动打开命令提示符。输入“ftype exefile="%1"%*”恢复exe文件打开方式即可。
举一反三:除了记事本之外,其实系统的很多应用程序都可以借用来杀病毒,另外一些编辑软件都可以。
三、瞒天过海
说明:现在病毒都会采用IFO的技术,通俗的讲法是映像劫持,利用的是注册表中的如下键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置来改变程序调用的,而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。恰恰相反,让我们自己可以利用此处欺瞒病毒木马,让它实效。可谓,瞒天过海,还治其人。
实例:屏蔽某未知病毒KAVSVC.EXE
操作:
第1步 先建立以下一文本文件,输入以下内容,另存为1.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
"Debugger"="d:\\1.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
"Debugger"="d:\\1.exe"
(注:第一行代码下有空行。)
第2步 双击导入该reg文件后,确定。
第3步 点“开始→运行”后,输入KAVSVC.EXE的结果如图5所示。
图5
提示:1.exe可以是任意无用的文件,是我们随意创建一个文本文件后将后缀名.txt改为.exe的,
举一反三:我们也可以用这种方法对其它的系统组件进行劫持,比如cmd.exe,regedit.exe限制用户使用它们,加固系统安全,网吧或者局域网中可以使用。
四、釜底抽薪
说明:“不请自到”、“赖着不走”的IE插件、流氓软件犹如附骨之蛆,往往在我们下载安装软件时就悄无声息偷偷潜入系统,让用户不胜其烦。要想彻底杜绝流氓软件,唯一的办法是刮骨疗伤,将流氓软件这些“毒瘤”从正常的工具软件中剥离出来。而剥离手术也并非像大家想象的那般复杂,借助于UniversalExtractor的帮助,快车就可以将下载和剥离工作一气呵成。
实例:分离出软件中的恶意软件,打造纯净的安装文件。
工具:
1.UniversalExtractorV1.6.0完全汉化绿色版
2.Flashget(网际快车)
操作:
1.准备 :
第一步:启动Flashget,在程序主界面中单击“工具→选项”命令,打开选项窗口。单击“病毒防护”标签,在其下选择“下载完毕后进行病毒检查”复选框,然后单击“浏览”按钮,在弹出的对话框中选择UE文件夹中的可执行文件“UniExtract.exe”。清空“自动进行病毒检查的文件扩展名”文本框中原有的内容,将需要自动解压的压缩文件的扩展名键入进来,如“.EXE;.ZIP;.RAR;.7Z;.CAB;.GZ;.Z;.TAR;.ARJ;.LZH;.TGZ”,单击“确定”按钮之后将UE加入列表中,然后单击“确定”按钮退出选项窗口。
第二步:打开资源管理器,进入到快车安装目录,找到“Language”目录下的“JCCHS.ini”文件,该文件是快车的语言配置文件,通过修改该文件可以更改快车的显示菜单项目。双击用记事本打开该文件,然后单击“编辑→替换”,在打开的对话框中以“病毒检查”为关键字进行搜索替换,将原内容替换为“提取文件”,最后存盘退出。
第三步:现在回到快车主界面,在已下载列表框中,在任意一个已下载的软件上单击鼠标右键,这时我们会发现,原本灰色不可用的“病毒检查”已经不见了,取而代之的是激活可用的“提取文件”(见图6)。
图6
2.抽薪:
我们以对下载PC清理王1.58抽薪为例,
第一步:将PC清理王的下载地址添加到快车中进行下载,下载完成后,在已下载列表框中选中下载回来的PC清理王,然后右键单击“提取文件”命令,这时会自动启动UE,在UE对话框中直接单击“确定”按钮(见图7)。
图7
第二步:UE会自动将压缩包解压,然后从压缩包中将InnoSetup、InstallShield、WinodwsInstaller、NSIS等常见的安装程序一一提取出来,同时会显示提取的文件和进度。
第三步:提取完毕,打开资源管理器,定位到解包后文件的输出文件夹,在输出文件夹中会有数个子文件夹,通常情况下,正常的程序都位于输出文件夹的根目录下,而流氓软件会位于其他子目录中,但也有例外,例如PC清理王正常的程序和流氓软件全部位于app文件夹中,在该子文件夹中,我们就可以清楚地看到除了PC清理王之外,还有“百度超级搜霸”这个款流氓软件,现在还等什么,将这些流氓全部毙掉,只剩下PC清理王即可。 (见图8)
图8
举一反三:通过上述方法,我们不但可以将捆绑于正常软件中的流氓软件剥离,而且还可以得到真正的绿色版软件。不过,通过这种方法得到的绿色软件有时可能无法运行,这是因为DLL文件没有正常注册所致,做一个批处理文件利用regsvr32命令进行一下注册即可。
总结:“三十六计”博大精深,只要灵活应用就可以在手工杀毒中发挥巨大的威力。笔者上面的实例就算抛砖引玉,希望大家能够挖掘出更好的用法。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者