遇到一位客户的计算机严重感染病毒。
一种病毒阻止了除病毒选择允许的程序之外的所有程序的运行。
谷歌搜索向我展示了如何对.exe 程序进行此操作,但该病毒也阻止了.com 程序的运行。
严格来说,我不想自己做到这一点,但是我确实想知道如何实现这一点,以及从而如何产生这种不良效果。
我猜想这个技巧将涉及注册表更改,因此可以使用 regedit 在已移除并连接到正常运行的 PC 的硬盘上工作,从而撤消它。将使用 open hive 命令打开必要的文件。
有任何想法吗?
忘记提到正在运行的 Windows 版本是 Windows Home。似乎需要专业版才能运行组策略管理控制台。或者这是否可以通过注册表间接实现,如果可以,如何实现?
答案1
这软件限制策略是实现此目的的一种方法:您可以定义一个策略,允许某些程序并禁止其他程序;这可能是最简单的方法。
您还可以尝试挂接 API 函数 - 简单来说,每次程序想要执行某项操作时,此请求都会首先经过您的“钩子”或处理程序。这是许多病毒的工作方式。阅读API 挂钩揭秘了解简介,或者谷歌一下钩子CreateProcess(CreateProcess 是用于启动程序的 Windows API 函数)并从那里开始。
答案2
该病毒可能使用了“软件限制策略”:http://technet.microsoft.com/en-us/library/bb457006.aspx