avast! 的自我保护驱动 (avast! 5 先期代码测试)

冰火岛坐看云起

avast! 的自我保护驱动 (avast! 5 先期代码测试)

来自：MACD论坛(bbs.macd.cn) 作者：冰火岛坐看云起 浏览：2805 回复：0

请勿随便尝试，后果自负。


看到很多反映说 avast! 缺少自我保护, 进程可以用任务管理器来结束. 根据 avast! 官方论坛的消息, avast! 5 将增加自我保护功能, 并且, 这个功能的先期测试代码已经可以下载并应用于现在的 avast! 4.x 版本. 有兴趣的朋友现在就来尝试一下吧.


下载:



AntiKill.zip




安装方法:

1. 解压缩下载的压缩包
2. 把 AntiKill.sys 复制到 C:\Windows\System32\Drivers 目录 (根据你的Windows安装位置确定)
3. 双击 inst.reg 文件导入注册表
4. 重新启动计算机


这样, 病毒就不能通过简单的方法结束 avast! 的进程了.


补充说明:

1. 为什么用 IceSword 等可以结束 avast! 进程?

IceSword 是反 Rootkit 软件, 在系统内核进行操作. 问题就在于是它先结束 avast! 还是 avast! 先结束它. 在 avast! 5 中, 这个自我保护的功能将会和一个全面的行为拦截器配合, 并且, 有一个行为拦截器将安装在内核模式, 所以, 例如 IceSword 的软件尝试加载到系统内核时, avast! 会发出警告并允许你拦截.

2. 为什么可以通过服务管理关闭 avast! 的服务?

这一点可能在 avast! 5 发布时发生变化. avast! 官方正在权衡这样限制的利与弊, 也就是说, 不允许停止服务不是一个技术问题, 而是一个 "政策性" 的决定. 至于将来是否需要保护这个, 很可能会成为一个可选的选项.


翻译自 avast! 官方论坛
http://forum.avast.com/index.php?topic=22184.0



-----

补充三个问答


1、如何卸载？
2、对HOME版是否有效？
3、在哪里能够区别？

1、在注册表中删除导入的注册表文件对应内容 重新启动 删除antikill.sys文件 (没有试过, 如果有问题请提出)
2、有效
3、用任务管理器结束 avast! 的进程 ashserv.exe ashwebsv.exe 等看看