• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 技術專欄

以其之道還施彼身 註冊表映像劫持巧治病毒

【賽迪網-IT技術報道】現在病毒都會採用IFO的技術,通俗的講法是映像劫持,利用的是註冊表中的如下鍵值:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options位置來改變程序調用的,而病毒卻利用此處將正常的殺毒軟體給偷換成病毒程序。事物都有其兩面性,其實,我們也可以利用該鍵值來欺瞞病毒木馬,讓它實效。可謂,將計就計,還治其人。

下面我們以屏蔽某未知病毒KAVSVC.EXE為例,操作方法如下:

第一步:先建立以下一文本文件,輸入以下內容:

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVSVC.EXE]"Debugger"="d://1.exe"[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVSVC.EXE]"Debugger"="d://1.exe"(註:第一行代碼下有空行。)

第二步:將以上文本另存為1.reg,雙擊1.reg以導入該reg文件,確定。

第三步:點"開始→運行"後,輸入KAVSVC.EXE。

提示:1.exe可以是任意無用的文件,是我們隨意創建一個文本文件後將後綴名.txt改為.exe的。

(

加入好友line@vga9721w
線上客服
@hd119