殺毒軟件被“殺” 連聲“救命”都沒喊

　　現在的木馬、病毒融入了很多最新的技術，系統中的殺毒軟件紛紛被“殺”，竟然連聲“救命”都沒有來得及喊，就悄無聲息地倒下了。這讓崇尚安全第一的我們怎麼忍受?殺毒軟件“出師未捷身先死”，確實有些窩囊。這除了自身的原因外，我們應該從系統找找根源，讓它更健壯，使它名副其實，至少在被殺之前喊聲“救命”!

　　一、案例追蹤

　　案例一：卡巴斯基被“咔嚓”了

　　1.症狀：桌面右下角的卡巴斯基的圖標變灰，系統安全實時監控停止，系統時間被改。雙擊卡巴圖標提示：授權過期，購買新的授權文件。更改回系統時間，卡巴斯基圖標變紅，但不一會再次變灰，系統時間也被改。(圖1)

　　

　　圖1

　　2.原因：卡巴斯基的正版認證方式成了卡巴的軟肋。由於卡巴斯基會爲了防止盜版，實時檢測系統日期，以判斷軟件是否已經超過授權的使用期限。當發現軟件許可過期時會立即關閉所有的監控，同時主程序也無法掃描病毒，並且需要用戶輸入新的序列號。所以這是沒辦法的事，一直以來卡巴都如此!因此只要一個批處理文件，就“殺”死了卡巴。

　　@echo off

　　set date=%date%

　　date 1987-02-06

　　ping -n 45 localhost > nul

　　date %date%

　　病毒、木馬在運行之前，先釋放並運行類似的腳本文件，解決掉卡巴，然後自己大搖大擺地進駐系統。

　　3.救治：

　　第一步：更改回系統時間。(最好在安全模式下。)

　　第二步：在“開始菜單”→“運行”(裏輸入gpedit.msc，打開組策略，依然選擇“計算機配置→windows設置”→安全設置→本地策略→用戶權利指派→更改系統時間”(右邊)，然後雙擊(或者是右鍵單擊，選擇“屬性”)打開“更新系統時間配置”屬性對話框，把裏面所有權限用戶名全部刪除，然後點擊確定，重啓計算機。這樣做的原理是取消用戶更改時間的權限，因爲病毒大都是以當前用戶的權限運行的，用戶沒有相關權限，病毒、木馬也就不能。

 

　　第三步：重啓系統後卡巴斯基就可以運行，進行全面殺毒。手工清除註冊表中的自啓動項下的相關鍵值。

　　提示：一旦刪除，時間就可以得到保障，將來如果想要更改時間的話，可以通過添加用戶和組來新建一個帳戶，然後就可以更改時間了。或者在組策略中恢復用戶更改時間的權限。(圖2)

　　

　　圖2

　　案例二：瑞星被劫持

　　1.症狀：開機後瑞星實時監控沒有運行，打開“任務管理器”，沒有與瑞星相關的進程。快捷方式運行瑞星沒有任何反映。到瑞星的安裝目錄下，目錄下的文件沒有更改或者刪除的跡象。

　　2.原因：WINDOWS NT系統在試圖執行一個從命令行調用的可執行文件運行請求時，先會檢查運行程序是不是可執行文件，如果是的話，再檢查格式的，然後就會檢查注表"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options"項下該命令對應的程序文件，如果有就執行對應的程序文件，沒有的話執行真正的程序文件。因爲這個註冊表項的優先級高，因此就會產生欺騙，也就是映像劫持。瑞星2008比較好地杜絕了taskkill、ntsd命令對其進程的操作，但沒有解決映像劫持。病毒木馬通過添加相關的項，讓自己運行而瑞星不能運行。然後病毒、木馬就可以屠城了，對系統肆意殺戮，當然包括瑞星。

　　比如通過一個批處理就可以讓QQ劫持瑞星：

　　@echo off

　　reg add "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavTask.exe"

　　reg add "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavTask.exe" /v RavTask.exe /t REG_EXPAND_SZ /d %*%

　　exit

　　注：*爲你的QQ主文件的路徑。

　　3.救治：

　　權限限制法：

　　如果用戶無權訪問該註冊表項了，它也就無法修改這些東西了。打開註冊表編輯器，進入

　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options ，選中該項，右鍵→權限→高級，將administrator 和 system 用戶的權限調低即可(這裏只要把寫入操作給取消就行了)。(圖3)

　　

　　圖3

　　快刀斬亂麻法 ：

　　打開註冊表編輯器，進入把HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options 項，直接刪掉 Image File Execution Options 項即可解決問題。 (圖4)

　　

　　圖4

　　案例三：毒霸被Kill

　　1.症狀：金山毒霸的進程被結束，桌面下的毒霸圖標變灰或者消失，實時監控實效。系統啓動後提示：“運行環境不完整,可能發生文件損壞,建議重新安裝金山毒霸或在線升級!”

　　2.金山毒霸2008以前的版本，對於自身進程的保護做得很差，運用命令就可以輕易地結束其進程，停止其服務。

　　taskkill /f /im kav32.exe

　　ntsd -c q -p #

　　提示：kav32爲毒霸的進程名，#爲毒霸進程的PID

　　3.救治：

　　升級法：把金山毒霸升級到2008。經測試，不能結束進程。(圖5)

　　

　　圖5

　　文件法：如果你不想升級，那就把taskkill、ntsd命令改名或者刪除。

　　二、“救命啊!我要被Kill了!”

　　無知不是罪，但不知卻很可怕。敵人進入你的電腦你卻渾然不知!總是在幾天之後才發現，殺軟早就悄無聲息地被人幹掉了，機子裏充滿了病毒。是呀，網上充滿了各種木馬、病毒加花加殼加草的方法，躲過殺軟的監控，成功運行後，殺軟便成了刀俎魚肉，第一個被人幹掉，不經意間你可能纔會發現殺軟的圖標早就不見了，但是也晚了。那麼殺軟才被幹掉的一瞬間，能不能讓它喊一聲救命再死呢?讓我們好第一時間拯救它!

　　1.腳本文件法：

　　打開記事本，輸入下面腳本代碼(下面代碼以瑞星爲例)：

　　strComputer = "."

　　Set objWMIService = GetObject("winmgmts:" _

　　& "{impersonationLevel=impersonate}!//" & strComputer & "/root/cimv2")

　　Set colMonitoredProcesses = objWMIService. _

　　ExecNotificationQuery("select * from __instancedeletionevent " _

　　& "within 1 where TargetInstance isa 'Win32_Process'")

　　i = 0

　　Do While i = 0

　　Set objLatestProcess = colMonitoredProcesses.NextEvent

　　If objLatestProcess.TargetInstance.Name = "RavMon.exe" Then

　　Wscript.Echo "注意：瑞星殺毒軟件已經被關閉!!! 進程名：" & objLatestProcess.TargetInstance.name

　　end if

　　Loop

　　將第十行中的RavMon.exe替換成自己所使用的殺毒軟件進程名，一定要注意大小寫，第十一行中的中文字也可以自己寫。然後依次單擊“文件”→“另存爲”，將其保存爲*.vbs文件，雙擊運行即可開始對殺毒軟件的監視，最好放到Windows啓動文件夾中(C:/Documents and Settings/All Users/「開始」菜單/程序/啓動)，這樣每次開機都會自動對殺毒軟件進行監視，如果想要停止監控只要結束wscript.exe進程即可。

　　另外，大多數殺毒軟件有多個進程，如果覺得只監視一個不夠，可以將第十行改爲：

　　If objLatestProcess.TargetInstance.Name = "進程名1" or bjLatestProcess.TargetInstance.Name = "進程名2" or objLatestProcess.TargetInstance.Name = "進程名3" (......)Then。

　　在虛擬機上測試成功!(圖6)

　　

　　圖6

　　2.第三方工具法：

　　軟件名稱：任務管理器增強工具

　　下載地址：http://gzcnc.onlinedown.net:82/down/mtmsetup.exe

　　操作步驟：(以瑞星爲例)

　　第一步：打開並運行“任務管理器增強工具”，在“監視進程”選項卡下，勾選“監視下列進程，當進程死亡後立即啓動”，然後通過“瀏覽”、“添加”按鈕添加需要監視的進程。

　　第二步：添加三個瑞星關鍵進程文件RavMon.exe、RavMonD.exe、CCenter.exe，並點擊“保存”按鈕。

　　第三步：隨便運行一個程序，並在任務管理中結束它，提示“無法結束!”。

　　提示：其他殺毒軟件的進程保護類似，就是把該殺毒軟件的進程文件添加進去就可以了。

　　這樣，有了它的監視，在殺軟不幸後可以告訴我們一聲。(圖7)

　　

　　圖7

　　三、讓殺毒軟件起死回生!

　　聽到了殺毒軟件臨終前的救命聲，它倒下了，你總不能讓你的機子在網上“裸奔”吧?那如何讓它起死回生呢?(本文以瑞星的修復爲例，其它殺毒軟件的修復類似。)

　　第一選擇：自我修復

　　運行瑞星“添加刪除組件”程序，選擇“修復”點擊“下一步”，如果順利的話很快就完成修復過程。(圖8)

　　

　　圖8

　　第二選擇：手工修復

　　先刪除c:/ windows /rav.ini文件,然後退出瑞星“實時監控”。運行“services.msc”進入服務管理器，停止瑞星的相關服務：Rsccenter、RsRavmon。打開瑞星安裝目錄找到其中的一個updata文件夾.直接雙擊裏面的setup.exe,過後會彈出如圖9的窗口，選擇“添加刪除安裝”選項點擊“下一步”，一路“下一步”，如果中途有什麼錯誤提示就點選擇“取消”以調試方式繼續，(提示:這種情況就是我們前面的第一步爲什麼要停止瑞星服務的原因),以強行繼續方式安裝。完成安裝後重新啓動計算機，瑞星應該正常了。(圖9)

　　

　　圖9

　　第三選擇：重新安裝

　　如果前面的方法無效，那只有重新安裝了。重新安裝你不會是把安裝光盤插入光驅這樣安裝吧，那你升級病毒庫就太費時間了!最好的方法是在一臺安裝有瑞星並且病毒庫爲最新的電腦上執行“瑞星安裝包製作程序”，製作一份有最新病毒庫的瑞星安裝文件，然後用U盤在你自己的電腦上安裝。這樣你的病毒庫就是最新的了，省去了升級的麻煩。(圖10)

　　

　　圖10

　　四、總結:殺毒軟件經歷從被“殺”到喊“救命”直至“復活”的漫長過程，這一切都是由人導演的。因此提高自身的水平纔是關鍵。