网上有关“av终结者的破解方法
”话题很是火热
，小编也是针对av终结者的破解方法寻找了一些与之相关的一些信息进行分析，如果能碰巧解决你现在面临的问题 ，希望能够帮助到您
。

Autorun.inf

一个暗藏杀机的文本格式
，以至于有些杀软都加入病毒库，传播U盘病毒的罪魁祸首 ，很多情况下我们把它视为敌人
，如果配合系统默认的"自动播放"功能,那激活病毒的机率将会是100%。

关闭自动播放功能：计算机配置—管理模板—系统—停用自动播放—设置为“已启用”—选上所有驱动器—确定，至于Autorun.inf ，可以下载U盘免疫工具 。

线程插入

全名叫“远程创建线程 ”
。这样的病毒通常是Dll格式的文件
，可能依附 系统服务\EXE载体\Rundll32.exe\注册表插入进程。那么除非用第三方工具，否则无法发现宿主内的dll病毒 ，因为进程管理器里毫无异常 。这种技术在木马界应用非常广泛
，具有一定的隐蔽性
。8位字符病毒就是利用这个技术，使得无法在进程里直接发现 ，给查杀工作带来难度。

我们可以下载第三方工具，可以查看进程模块的
，推荐用冰刃 。主要检测Explorer进程模块，该进程是木马常聚集的场所 ，应当特别留意
。最好可以配合SREng日志查看
，那样会更容易辨认。

另：增强版的冰刃该病毒并无法关闭，同时IFEO劫持亦无效 。

IFEO重定向劫持

最近被滥用的技术 ，在知名的安全工具就Autoruns能追踪到（新版本的SREng同样具有IFEO检测能力）
，为此我还曾写过一篇防御方法
。可惜的是并没有人愿意去看```

IFEO其实是位于注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

下的Image File Execution Options（简写为IFEO）

这个项主要是用来调试程序（防止溢出），一般用户根本用不到。默认是只有管理员和local system能读写修改 。假设在这个项新建个“Filename.exe
”,键值为Debugger ，指向的是另一个程序（virus.exe)路径的话
，那么运行A程序的时候，会执行B ，这就是重定向劫持。

打开注册表
，展开到IFEO，设置权限 ，只读不允许写入就可以了
。（如果程序运行提示找不到的话，不妨改个名字试试）

HOOK

这个是类似于“监听”的技术
，翻译意思为“钩子 ”，我遇到的一个变种使用的是WH_CALLWNDPROC钩子 ，由常驻进程的8位随机数字.dll释放的钩子
，通过拦截一些敏感的信息并在程序调用中做了修改。不过它并不是修改信息，而是直接关闭一些过滤的“关键字
” 。

直接删掉对应的Dll病毒就可以了 ，一般用SREng日志可以检测出来
。

Rootkit

在我发现的AV变种中,发现一个木马群使用这个(Rootkit)技术,是7位随机病毒带来的,并实现三进程守护!

这个技术在木马界更多的是应用在隐藏上
，最典型的应属灰鸽子(也可能是Hook)，一个合格的RK可以让属于自己的文件（包括进程）人间蒸发。最常见的是修改枚举进程API ，使API返回的数据总是“遗漏”（病毒）自身进程的信息
，那么在进程里当然就不能发现了 。也有一种类似的技术，通过抹杀“进程信息表 ”的自身信息进行隐藏
。从而也达到隐藏的目的 ，不过该技术设计上缺陷和平台的通用
，貌似相当稀少。（至少我没遇到过）

我们可以通过一些反RK的工具，居于RK的技术 ，反RK工具不一定能盖过对方，最好的方法只能预防 。一些常用的反RK有偌顿的RootkitRevealer
，IS、Gmer和AVG的Anti-Rootkit Free
。

ARP挂马

这个不是重点，简单说了。是在一个AV变种的木马群发现的,由CMD调用 ，驻进程
，其实是个类似嗅探器的东西，隔秒刷新 ，监听网络
，在经过自身的数据包上挂一段恶意代码（JS），那么这些数据包返回时 ，收到被修改数据包的用户在浏览每个网页上可能都有病毒 。

如果在局域的话
，那么可以在任意一台主机上用抓包工具检查数据包的异常并定位
。

破防

前几个版本中的8位数字病毒就是使用了这个技术，通过拦截FindWindowExA 、mouse_event
、SendMessageA等函数 ，捕捉瑞星注册表监控和卡吧主动防御的监控窗口
，发送“允许
”、“Yes"命令。（不经过用户操作） 。后来作者发现，都把杀软关闭了 ，这功能不是多余的么。貌似后面的版本都没有再加入该技术
。

这种技术比较卑劣，只能通过预防为上。另：HIPS可以拦住 。

自身防护

“随机字符”病毒的自我保护方法是破坏安全模式和“显示隐藏文件 ”
，那么这给查杀工作带来相当大的难度，因为这些病毒属性都是隐藏的
。也不能进安全模式杀毒。

修复安全模式和“显示隐藏文件
”都可以借助相应的注册表导入修复 ，另SREng带有修复安全模式的功（SREng—系统修复—高级修复—修复安全模式—确定）

破解方法：

1 、忽视联防

首先是针对7位数字的双进程守护
，可以通用哦 。打开冰刃（增强版），按Ctrl选上两个随机7个字母的进程（通过路径辨别）
。同时结束掉 ，然后再删除对应的文件和启动注册表项就可以了。也可以设置冰刃“禁止线程创建”功能
，挨个结束 。

2
、重命名

把“随机数字.dll ”改名为“随机数字lld”那么重启后它还可以插入进程吗？答案是不可以的
。

3、扼其要道

一个Dll文件如何实现电脑重启后再次加载呢？（1）通过EXE载体释放。（2）通过系统服务加载 。（3）跟随Rundll启动
。（4）由注册表隐蔽加载（非常规Run启动项）。这里随机8位数字.dll使用的是第4种方法 。附在HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\ShellExecuteHooks下启动。那么好，如果我把这键锁了 ，你还能启动？这不需要工具
。

上次我就是锁住这个键
，实现随机病毒全手动删除。（好像40多个病毒这样子）

4 、删除工具

这个我就不多说了，等作者开窍 ，去更新吧
，鄙视你 。常用的是PowerRMV
、KillBox、IS等
。只需要删除掉那个随机数字.Dll，那么一切迎刃而解。（其实很有很多工具并没有禁 ，这里我不说了:D)

5 、还施彼身

IFEO？我也会用！这个病毒是依靠插Explorer进程的，如果我们把下面的代码导入注册表并重启
，那么等着看随机数字.dll“无家可归
”吧

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]

"Debugger"="C:\\Windows\\system32\\CMD.exe"

这样启动时候不会显示桌面，当然病毒也无法插入进程了 。而是显示DOS命令行哦 ，我们就可以为所欲为了~~~^_^

小聪明：其中C:\\Windows\\system32\\CMD.exe路径如果改成是冰刃或其他安全工具的启动路径话
，效果更佳
。

(如果使用这个方法的话，不能显示桌面可能导致无法进入系统 ，你可以调出任务管理器
，文件-新任务（运行）注册表（regedit)，把Explorer的IFEO劫持删除就可以了。）

6
、断电大法

以前对付一个病毒（ByShell) ，蛮厉害的
，实现三无技术（无文件、无启动项 、无进程） 。后来就是靠这招险胜的（汗了半个月）
。这个方法原理以突发断电法防止病毒从内存回写。我们知道，如果把属于病毒“同党”删除的话 ，那么驻进程的随机数字.dll会将其再生成 。我们可以先使用Autoruns这个工具（记得先改名字哦）删除掉随机数字.dll的注册表项
，删除后马上把电源关闭
。

如果机子卡或者动作慢的话，这招就不要试拉！

7、借尸还魂

上面提到了,随机数字.dll是依靠宿主Explorer.exe内的 ，以前是枚举TIMPlatform.exe"（如果有）和"Explorer.exe"后插入进程。后来作者发现，进程里肯定是有Explorer的
，在后面的版本中就没有加入枚举TIMPlatform.exe"了 。而是直接插入"Explorer.exe"。嘿嘿，思路又来了
。如果我们把Explorer.exe进程从任务管理结束掉 ，那么随机数字.dll不是流露街头？哈哈
，看看吧：

这招需要有点DOS知识，配合去病毒的附加属性从而达到目的。你可以直接调用CMD强行删除 。这招在前几个版本都有效 ，后面的我就不知道了
。（没有新样本呀
，5555~~~~）

另：如果进程里有TIMPlatform.exe的话，要先结束掉哈~~``

8
、遗忘的DOS

这里指的是纯DOS啊 ，不是命令行！找个安装盘并设置CR第一启动项。这样的安装盘一般都有集成DOS的工具
，进入之，执行强行删除命令就可以拉 ，附上命令：

Del 随机数字.dll /f/s/a/q

不过要到它的目录喔
，它“老人家 ”在C:\Program Files\Common Files\Microsoft Shared\MSINFO\

还有个同名的dat病毒 。（顺手删了哈）
。

9、重返安全模式

AV病毒能破坏安全模式，达到无法进入安全模式清除的效果 ，其实这是个软肋。只要我们修复安全模式，然后进安全模式把病毒文件删除掉就可以了 。

10 、挂盘杀

“帕虫
”（瑞星）
，AV终结者（金山命名）病毒的几种解决方法

最近“帕虫”（瑞星），AV终结者（金山命名）蛮流行的 ，其实就是7
、8位字符病毒
。我们民间的菜鸟管它叫“随机字母、数字病毒 ”。貌似反病毒论坛每天都有人因为这个病毒求助
，我也跟该病毒打过几次照面了，觉得没什么特别的 ，现在将它们病毒的技术做简单介绍
，并附上几个破解方法 。

Autorun.inf

一个暗藏杀机的文本格式，以至于有些杀软都加入病毒库 ，传播U盘病毒的罪魁祸首
，很多情况下我们把它视为敌人，如果配合系统默认的"自动播放"功能,那激活病毒的机率将会是100%
。

关闭自动播放功能：计算机配置—管理模板—系统—停用自动播放—设置为“已启用
”—选上所有驱动器—确定 ，至于Autorun.inf
，可以下载U盘免疫工具。

线程插入

全名叫“远程创建线程” 。这样的病毒通常是Dll格式的文件，可能依附系统服务\EXE载体\Rundll32.exe\注册表插入进程。那么除非用第三方工具 ，否则无法发现宿主内的dll病毒，因为进程管理器里毫无异常
。这种技术在木马界应用非常广泛
，具有一定的隐蔽性。8位字符病毒就是利用这个技术，使得无法在进程里直接发现 ，给查杀工作带来难度 。

我们可以下载第三方工具
，可以查看进程模块的，推荐用冰刃
。主要检测Explorer进程模块 ，该进程是木马常聚集的场所
，应当特别留意。最好可以配合SREng日志查看，那样会更容易辨认 。

另：增强版的冰刃该病毒并无法关闭 ，同时IFEO劫持亦无效
。

IFEO重定向劫持

最近被滥用的技术
，在知名的安全工具就Autoruns能追踪到（新版本的SREng同样具有IFEO检测能力），为此我还曾写过一篇防御方法。可惜的是并没有人愿意去看```

IFEO其实是位于注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

下的Image File Execution Options（简写为IFEO）

这个项主要是用来调试程序（防止溢出） ，一般用户根本用不到 。默认是只有管理员和local system能读写修改
。假设在这个项新建个“Filename.exe ”,键值为Debugger
，指向的是另一个程序（virus.exe)路径的话，那么运行A程序的时候 ，会执行B，这就是重定向劫持。

打开注册表
，展开到IFEO，设置权限 ，只读不允许写入就可以了 。（如果程序运行提示找不到的话
，不妨改个名字试试）

HOOK

这个是类似于“监听
”的技术，翻译意思为“钩子” ，我遇到的一个变种使用的是WH_CALLWNDPROC钩子
，由常驻进程的8位随机数字.dll释放的钩子，通过拦截一些敏感的信息并在程序调用中做了修改
。不过它并不是修改信息 ，而是直接关闭一些过滤的“关键字 ”。

直接删掉对应的Dll病毒就可以了
，一般用SREng日志可以检测出来 。

Rootkit

在我发现的AV变种中,发现一个木马群使用这个(Rootkit)技术,是7位随机病毒带来的,并实现三进程守护!

这个技术在木马界更多的是应用在隐藏上，最典型的应属灰鸽子(也可能是Hook) ，一个合格的RK可以让属于自己的文件（包括进程）人间蒸发。最常见的是修改枚举进程API
，使API返回的数据总是“遗漏
”（病毒）自身进程的信息，那么在进程里当然就不能发现了
。也有一种类似的技术 ，通过抹杀“进程信息表”的自身信息进行隐藏。从而也达到隐藏的目的，不过该技术设计上缺陷和平台的通用
，貌似相当稀少 。（至少我没遇到过）

我们可以通过一些反RK的工具，居于RK的技术 ，反RK工具不一定能盖过对方
，最好的方法只能预防
。一些常用的反RK有偌顿的RootkitRevealer，IS 、Gmer和AVG的Anti-Rootkit Free。

ARP挂马

这个不是重点 ，简单说了 。是在一个AV变种的木马群发现的,由CMD调用
，驻进程，其实是个类似嗅探器的东西 ，隔秒刷新
，监听网络，在经过自身的数据包上挂一段恶意代码（JS） ，那么这些数据包返回时
，收到被修改数据包的用户在浏览每个网页上可能都有病毒
。

如果在局域的话，那么可以在任意一台主机上用抓包工具检查数据包的异常并定位。

破防

前几个版本中的8位数字病毒就是使用了这个技术 ，通过拦截FindWindowExA
、mouse_event、SendMessageA等函数，捕捉瑞星注册表监控和卡吧主动防御的监控窗口
，发送“允许 ” 、“Yes"命令 。（不经过用户操作），后来作者发现 ，把杀软关闭了
，这功能不是多余的么
。貌似后面的版本都没有再加入该技术。

这种技术比较卑劣，只能通过预防为上 。另：HIPS可以拦住
。

自身防护

“随机字符”病毒的自我保护方法是破坏安全模式和“显示隐藏文件
” ，那么这给查杀工作带来相当大的难度
，因为这些病毒属性都是隐藏的。也不能进安全模式杀毒 。

修复安全模式和“显示隐藏文件”都可以借助相应的注册表导入修复，另SREng带有修复安全模式的功（SREng—系统修复—高级修复—修复安全模式—确定）

破解方法：

1
、忽视联防

首先是针对7位数字的双进程守护 ，可以通用哦。打开冰刃（增强版）
，按Ctrl选上两个随机7个字母的进程（通过路径辨别）
。同时结束掉，然后再删除对应的文件和启动注册表项就可以了。也可以设置冰刃“禁止线程创建 ”功能 ，挨个结束 。

2、重命名

把“随机数字.dll
”改名为“随机数字lld”那么重启后它还可以插入进程吗？答案是不可以的
。

3 、扼其要道

一个Dll文件如何实现电脑重启后再次加载呢？（1）通过EXE载体释放。（2）通过系统服务加载 。（3）跟随Rundll启动
。（4）由注册表隐蔽加载（非常规Run启动项）。这里随机8位数字.dll使用的是第4种方法 。附在HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\ShellExecuteHooks下启动
。那么好
，如果我把这键锁了，你还能启动？这不需要工具。 上次我就是锁住这个键 ，实现随机病毒全手动删除 。（好像40多个病毒这样子）

4
、删除工具

这个我就不多说了，等作者开窍
，去更新吧，鄙视你
。常用的是PowerRMV、KillBox 、IS等。只需要删除掉那个随机数字.Dll ，那么一切迎刃而解 。（其实很有很多工具并没有禁
，这里我不说了:D)

5、还施彼身

IFEO？我也会用！这个病毒是依靠插Explorer进程的，如果我们把下面的代码导入注册表并重启 ，那么等着看随机数字.dll“无家可归 ”吧

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]

"Debugger"="C:\\Windows\\system32\\CMD.exe"

这样启动时候不会显示桌面
，当然病毒也无法插入进程了。而是显示DOS命令行哦，我们就可以为所欲为了~~~^_^

小聪明：其中C:\\Windows\\system32\\CMD.exe路径如果改成是冰刃或其他安全工具的启动路径话 ，效果更佳
。

6
、断电大法

以前对付一个病毒（ByShell)
，蛮厉害的，实现三无技术（无文件、无启动项 、无进程）。后来就是靠这招险胜的（汗了半个月） 。这个方法原理以突发断电法防止病毒从内存回写
。我们知道 ，如果把属于病毒“同党
”删除的话
，那么驻进程的随机数字.dll会将其再生成。我们可以先使用Autoruns这个工具（记得先改名字哦）删除掉随机数字.dll的注册表项，删除后马上把电源关闭 。

如果机子卡或者动作慢的话 ，这招就不要试拉！

7
、借尸还魂

上面提到了,随机数字.dll是依靠宿主Explorer.exe内的，以前是枚举TIMPlatform.exe"（如果有）和"Explorer.exe"后插入进程
。后来作者发现
，进程里肯定是有Explorer的，在后面的版本中就没有加入枚举TIMPlatform.exe"了。而是直接插入"Explorer.exe" 。嘿嘿 ，思路又来了
。如果我们把Explorer.exe进程从任务管理结束掉
，那么随机数字.dll不是流露街头？哈哈，看看吧：

这招需要有点DOS知识 ，配合去病毒的附加属性从而达到目的。你可以直接调用CMD强行删除 。这招在前几个版本都有效
，后面的我就不知道了
。（没有新样本呀，5555~~~~）

8、遗忘的DOS

这里指的是纯DOS啊 ，不是命令行！找个安装盘并设置CR第一启动项。这样的安装盘一般都有集成DOS的工具
，进入之，执行强行删除命令就可以拉 ，附上命令：

Del 随机数字.dll /f/s/a/q

不过要到它的目录喔
，它“老人家”在C:\Program Files\Common Files\Microsoft Shared\MSINFO\

还有个同名的dat病毒 。（顺手删了哈）。

9 、重返安全模式

AV病毒能破坏安全模式，达到无法进入安全模式清除的效果 ，其实这是个软肋
。只要我们修复安全模式，然后进安全模式把病毒文件删除掉就可以了。

我网盘有专门修复工具（注册表）
，其中SREng也可以修复，方法在上面 。

我的网盘：（如果不能下的话 ，自己去网上找吧！）

10
、挂盘杀

没什么技术含量了
，鄙视我吧
。（BIOS要设置主从盘，要谨慎 ，另小心母机不要中标了）

关于“av终结者的破解方法 ”这个话题的介绍
，今天小编就给大家分享完了，如果对你有所帮助请保持对本站的关注！