现在病毒都会采用IEFO的技术 通俗的讲法是映像劫持 利用的是注册表中的如下键值 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options位置来改变程序调用的 而病毒却利用此处将正常的杀毒软件给偷换成病毒程序 事物都有其两面性 其实 我们也可以利用该键值来欺瞒病毒木马 让它失效 可谓 将计就计 还治其人
下面我们以屏蔽某未知病毒KAVSVC EXE为例 操作方法如下
第一步 先建立以下一文本文件 输入以下内容
Windows Registry Editor Version
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution OptionsKAVSVC EXE]
Debugger = d exe
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution OptionsKAVSVC EXE]
Debugger = d exe
第二步 将以上文本另存为 reg 双击 reg以导入该reg文件 确定
第三步 点 开始→运行 后 输入KAVSVC EXE
提示 exe可以是任意无用的文件 是我们随意创建一个文本文件后将后缀名 txt改为 exe的
