病毒禁用杀毒软件的原理
我所知道的有一下几种方法:
1。通过修改注册表
将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下的杀毒软件启动项修改成病毒路径,在重启后杀毒软件就无法运行,而运行的却是病毒。 删除病毒后,会弹出错误框,说加载XX失败,找不到指定模块。这也叫做IFEO挟持。是比较常用的。
2。通过将杀毒软件关闭后,删除其主程序。这是最简单的方法。
3。通过批处理。
将杀毒软件结束后,运行指定批处理,它会将杀毒软件的关键DLL删除,在该目录下创建与此DLL同名的文件...全部
我所知道的有一下几种方法:
1。通过修改注册表
将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下的杀毒软件启动项修改成病毒路径,在重启后杀毒软件就无法运行,而运行的却是病毒。
删除病毒后,会弹出错误框,说加载XX失败,找不到指定模块。这也叫做IFEO挟持。是比较常用的。
2。通过将杀毒软件关闭后,删除其主程序。这是最简单的方法。
3。通过批处理。
将杀毒软件结束后,运行指定批处理,它会将杀毒软件的关键DLL删除,在该目录下创建与此DLL同名的文件夹,再在该文件夹下创建一个不可删除的特殊文件夹。
这样杀毒软件会因为缺少组件无法运行,修复时会因为同名文件夹无法创建新的DLL文件,导致修复后依旧无法使用。删除同名文件夹时会因为里面的特殊文件夹,出现拒绝访问错误,无法删除。这是比较聪明的方法。
(解决时,只要在CMD中用MD删除特殊文件夹即可,删除时填的文件名是它显示的名称后加。\,这才是它真正的文件名)
4。修改杀毒软件主程序。
修改杀毒软件主程序,在其导入中加入病毒DLL。删除病毒后,启动杀毒软件时会出现"因缺少XX文件,该程序无法启动,通过重新安装该程序可解决问题"。
这种方法比较少见,我见过是修改EXPLORER。EXE文件的,其实把它用在杀毒软件上也是可以的。解决方法是修复或复制一个正常的程序)。这种方法的技术要求高。
5。删除杀毒软件启动项
病毒运行后,会删除在注册表中搜索到的所有杀毒软件启动项,使电脑重启后杀毒软件全部不能运行。
6。结束进程
通过监视计算机进程,查找到如RAV。EXE,RAVMON。EXE等杀毒软件进程就全部结束,导致杀毒软件一开起来就被关闭,无法正常工作。
7。修改时间
不懂是不是BUG,单把系统时间调成特定时间,一些杀毒软件的服务就会启动失败,导致杀毒软件运行失败。
所以,中了一些病毒后,系统时间会被莫名其妙的修改。可以用晴朗的天空的方法防止系统时间被修改。但是这样设置后,自己也无法修改系统时间了。收起
