杀毒软件被“杀” 连声“救命”都没喊

　　现在的木马、病毒融入了很多最新的技术，系统中的杀毒软件纷纷被“杀”，竟然连声“救命”都没有来得及喊，就悄无声息地倒下了。这让崇尚安全第一的我们怎么忍受?杀毒软件“出师未捷身先死”，确实有些窝囊。这除了自身的原因外，我们应该从系统找找根源，让它更健壮，使它名副其实，至少在被杀之前喊声“救命”!

　　一、案例追踪

　　案例一：卡巴斯基被“咔嚓”了

　　1.症状：桌面右下角的卡巴斯基的图标变灰，系统安全实时监控停止，系统时间被改。双击卡巴图标提示：授权过期，购买新的授权文件。更改回系统时间，卡巴斯基图标变红，但不一会再次变灰，系统时间也被改。(图1)

　　

　　图1

　　2.原因：卡巴斯基的正版认证方式成了卡巴的软肋。由于卡巴斯基会为了防止盗版，实时检测系统日期，以判断软件是否已经超过授权的使用期限。当发现软件许可过期时会立即关闭所有的监控，同时主程序也无法扫描病毒，并且需要用户输入新的序列号。所以这是没办法的事，一直以来卡巴都如此!因此只要一个批处理文件，就“杀”死了卡巴。

　　@echo off

　　set date=%date%

　　date 1987-02-06

　　ping -n 45 localhost > nul

　　date %date%

　　病毒、木马在运行之前，先释放并运行类似的脚本文件，解决掉卡巴，然后自己大摇大摆地进驻系统。

　　3.救治：

　　第一步：更改回系统时间。(最好在安全模式下。)

　　第二步：在“开始菜单”→“运行”(里输入gpedit.msc，打开组策略，依然选择“计算机配置→windows设置”→安全设置→本地策略→用户权利指派→更改系统时间”(右边)，然后双击(或者是右键单击，选择“属性”)打开“更新系统时间配置”属性对话框，把里面所有权限用户名全部删除，然后点击确定，重启计算机。这样做的原理是取消用户更改时间的权限，因为病毒大都是以当前用户的权限运行的，用户没有相关权限，病毒、木马也就不能。

　　第三步：重启系统后卡巴斯基就可以运行，进行全面杀毒。手工清除注册表中的自启动项下的相关键值。

　　提示：一旦删除，时间就可以得到保障，将来如果想要更改时间的话，可以通过添加用户和组来新建一个帐户，然后就可以更改时间了。或者在组策略中恢复用户更改时间的权限。(图2)

　　

　　图2

　　案例二：瑞星被劫持

　　1.症状：开机后瑞星实时监控没有运行，打开“任务管理器”，没有与瑞星相关的进程。快捷方式运行瑞星没有任何反映。到瑞星的安装目录下，目录下的文件没有更改或者删除的迹象。

　　2.原因：WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查注表"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"项下该命令对应的程序文件，如果有就执行对应的程序文件，没有的话执行真正的程序文件。因为这个注册表项的优先级高，因此就会产生欺骗，也就是映像劫持。瑞星2008比较好地杜绝了taskkill、ntsd命令对其进程的操作，但没有解决映像劫持。病毒木马通过添加相关的项，让自己运行而瑞星不能运行。然后病毒、木马就可以屠城了，对系统肆意杀戮，当然包括瑞星。

　　比如通过一个批处理就可以让QQ劫持瑞星：

　　@echo off

　　reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe"

　　reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe" /v RavTask.exe /t REG_EXPAND_SZ /d %*%

　　exit

　　注：*为你的QQ主文件的路径。

　　3.救治：

　　权限限制法：

　　如果用户无权访问该注册表项了，它也就无法修改这些东西了。打开注册表编辑器，进入

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ，选中该项，右键→权限→高级，将administrator 和 system 用户的权限调低即可(这里只要把写入操作给取消就行了)。(图3)

　　

　　图3

　　快刀斩乱麻法 ：

　　打开注册表编辑器，进入把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项，直接删掉 Image File Execution Options 项即可解决问题。 (图4)

　　

　　图4

　　案例三：毒霸被Kill

　　1.症状：金山毒霸的进程被结束，桌面下的毒霸图标变灰或者消失，实时监控实效。系统启动后提示：“运行环境不完整,可能发生文件损坏,建议重新安装金山毒霸或在线升级!”

　　2.金山毒霸2008以前的版本，对于自身进程的保护做得很差，运用命令就可以轻易地结束其进程，停止其服务。

　　taskkill /f /im kav32.exe

　　ntsd -c q -p #

　　提示：kav32为毒霸的进程名，#为毒霸进程的PID

　　3.救治：

　　升级法：把金山毒霸升级到2008。经测试，不能结束进程。(图5)

　　

　　图5

　　文件法：如果你不想升级，那就把taskkill、ntsd命令改名或者删除。

　　二、“救命啊!我要被Kill了!”

　　无知不是罪，但不知却很可怕。敌人进入你的电脑你却浑然不知!总是在几天之后才发现，杀软早就悄无声息地被人干掉了，机子里充满了病毒。是呀，网上充满了各种木马、病毒加花加壳加草的方法，躲过杀软的监控，成功运行后，杀软便成了刀俎鱼肉，第一个被人干掉，不经意间你可能才会发现杀软的图标早就不见了，但是也晚了。那么杀软才被干掉的一瞬间，能不能让它喊一声救命再死呢?让我们好第一时间拯救它!

　　1.脚本文件法：

　　打开记事本，输入下面脚本代码(下面代码以瑞星为例)：

　　strComputer = "."

　　Set objWMIService = GetObject("winmgmts:" _

　　& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

　　Set colMonitoredProcesses = objWMIService. _

　　ExecNotificationQuery("select * from __instancedeletionevent " _

　　& "within 1 where TargetInstance isa 'Win32_Process'")

　　i = 0

　　Do While i = 0

　　Set objLatestProcess = colMonitoredProcesses.NextEvent

　　If objLatestProcess.TargetInstance.Name = "RavMon.exe" Then

　　Wscript.Echo "注意：瑞星杀毒软件已经被关闭!!! 进程名：" & objLatestProcess.TargetInstance.name

　　end if

　　Loop

　　将第十行中的RavMon.exe替换成自己所使用的杀毒软件进程名，一定要注意大小写，第十一行中的中文字也可以自己写。然后依次单击“文件”→“另存为”，将其保存为*.vbs文件，双击运行即可开始对杀毒软件的监视，最好放到Windows启动文件夹中(C:\Documents and Settings\All Users\「开始」菜单\程序\启动)，这样每次开机都会自动对杀毒软件进行监视，如果想要停止监控只要结束wscript.exe进程即可。

　　另外，大多数杀毒软件有多个进程，如果觉得只监视一个不够，可以将第十行改为：

　　If objLatestProcess.TargetInstance.Name = "进程名1" or bjLatestProcess.TargetInstance.Name = "进程名2" or objLatestProcess.TargetInstance.Name = "进程名3" (......)Then。

　　在虚拟机上测试成功!(图6)

　　

　　图6

　　2.第三方工具法：

　　软件名称：任务管理器增强工具

　　下载地址：http://gzcnc.onlinedown.net:82/down/mtmsetup.exe

　　操作步骤：(以瑞星为例)

　　第一步：打开并运行“任务管理器增强工具”，在“监视进程”选项卡下，勾选“监视下列进程，当进程死亡后立即启动”，然后通过“浏览”、“添加”按钮添加需要监视的进程。

　　第二步：添加三个瑞星关键进程文件RavMon.exe、RavMonD.exe、CCenter.exe，并点击“保存”按钮。

　　第三步：随便运行一个程序，并在任务管理中结束它，提示“无法结束!”。

　　提示：其他杀毒软件的进程保护类似，就是把该杀毒软件的进程文件添加进去就可以了。

　　这样，有了它的监视，在杀软不幸后可以告诉我们一声。(图7)

　　

　　图7

　　三、让杀毒软件起死回生!

　　听到了杀毒软件临终前的救命声，它倒下了，你总不能让你的机子在网上“裸奔”吧?那如何让它起死回生呢?(本文以瑞星的修复为例，其它杀毒软件的修复类似。)

　　第一选择：自我修复

　　运行瑞星“添加删除组件”程序，选择“修复”点击“下一步”，如果顺利的话很快就完成修复过程。(图8)

　　

　　图8

　　第二选择：手工修复

　　先删除c:/ windows /rav.ini文件,然后退出瑞星“实时监控”。运行“services.msc”进入服务管理器，停止瑞星的相关服务：Rsccenter、RsRavmon。打开瑞星安装目录找到其中的一个updata文件夹.直接双击里面的setup.exe,过后会弹出如图9的窗口，选择“添加删除安装”选项点击“下一步”，一路“下一步”，如果中途有什么错误提示就点选择“取消”以调试方式继续，(提示:这种情况就是我们前面的第一步为什么要停止瑞星服务的原因),以强行继续方式安装。完成安装后重新启动计算机，瑞星应该正常了。(图9)

　　

　　图9

　　第三选择：重新安装

　　如果前面的方法无效，那只有重新安装了。重新安装你不会是把安装光盘插入光驱这样安装吧，那你升级病毒库就太费时间了!最好的方法是在一台安装有瑞星并且病毒库为最新的电脑上执行“瑞星安装包制作程序”，制作一份有最新病毒库的瑞星安装文件，然后用U盘在你自己的电脑上安装。这样你的病毒库就是最新的了，省去了升级的麻烦。(图10)

　　

　　图10

　　四、总结:杀毒软件经历从被“杀”到喊“救命”直至“复活”的漫长过程，这一切都是由人导演的。因此提高自身的水平才是关键。