大家好 我是水手 提起过杀软的主动防御可是今年热门话题 大都是什么修改时间过卡巴主动
和恢复 SSDT表之类的话题 现在修改时间过卡巴主动对新版的卡巴已经不起作用了 恢复ssdt表要
ring0级 还要编写驱动 兼容性也不是太好而且还容易引起蓝屏
今天我给大家讲一下我自己的思路 “替换注册表启动软件重启安装过主动防御” 前提是要保
证安装服务的电脑上有注册表启动软件 也就是“HKEY_LOCAL_MACHINE\software\microsoft\windo
ws\currentversion\Run”键值下的随机启动软件 。
下面讲一下流程 首先检查注册表RUN键值下的启动软件的名称和安装路径 如果是杀软的跳过
然后查找软件进程 如果有就结束 备份启动软件 把自己替换成启动软件然后退出或者强制重启 重
启后安装服务 删除自己 把备份的启动软件还原
上面就是我的思路水平有限,还请朋友们不要见笑 顺便做下广告:)欢迎朋友们到我的论坛
做客
www.haidao521.cn 本人QQ:78698358
