这是一个创建于 1359 天前的主题,其中的信息可能已经有所发展或是发生改变。
大概就是 A 程序创建 B 程序后退出,B 程序拉起 A 程序后退出。 如果是以前我会用 PCHunter 禁止新进程的创建解决,但是 PCHunter 貌似不能在最新的 Win 10 上正常工作。
这次不是病毒,只是开发者写了个死循环的更新程序,最后通过断网解决的,但如果恶意程序使用类似的套路,随机文件名,HASH 不固定,再加上自启动应该能恶心到不少人。
安全模式禁用启动项进去删文件确实能暂时解决,但有没有直接处理的方法呢?
 |
1
johnsonshu 2021-02-12 17:09:15 +08:00 via Android
suspend 一个 再搞?
|
 |
2
GPLer OP @johnsonshu 请问 Suspend 如何实施,我试过了手动结束进程会失败,因为在结束前目标进程已经消失了,Suspend 的话应该也会有类似的问题吧。
|
|
3
johnsonshu 2021-02-12 17:17:05 +08:00 via Android
@GPLer procexp 里列出进程列表。然后点右键啊。 我想得太简单了?
|
|
4
GPLer OP @johnsonshu 试了下没用,根本选不到。。。
|
 |
5
xupefei 2021-02-12 17:42:28 +08:00 via iPhone
挂上调试器把 createprocess api 干掉呗。
|
 |
6
ysc3839 2021-02-12 17:45:57 +08:00
> 但如果恶意程序使用类似的套路,随机文件名,HASH 不固定,再加上自启动应该能恶心到不少人。
这问题无解,大多数桌面操作系统是比较开放的,因此恶意程序有各种各样的方法来恶心人,要避免的话只能一开始就不要运行。 |
 |
7
crab 2021-02-12 18:23:55 +08:00
设置文件权限不给运行。
|
 |
8
love 2021-02-12 20:05:45 +08:00
写个脚本?
plist = get_process_list() while true: plist2 = get_process_list() if (plist2 有不在 plist 中的进程) 直接 kill 这些进程 else break |
 |
9
systemcall 2021-02-13 00:12:01 +08:00
放虚拟机里面跑。不用了就把虚拟机休眠,要用了就直接恢复。只是费点内存和硬盘而已,反正这边的人都不在乎
|
 |
10
zszhere 2021-02-13 09:53:46 +08:00 via iPhone
这都快搞成 rootkit 的技术了
|
Select Language