● 用金山毒霸巧解恶意代码 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: xhjx (回家的感觉真好), 信区: Virus
标题: 用金山毒霸巧解恶意代码
发信站: 荔园晨风BBS站 (Fri Feb 22 16:25:03 2002), 站内信件

　上一次和大家说了使用金山毒霸的一个小功能——自动恢复EXE关联。可能你会
发觉原来只要留意一下身边的东西，就会有一些出其不意的新发现，比如说金山毒
霸恢复EXE关联的小功能，想不到金山毒霸还有这样的用途。这次我就再和大家说
一说巧用金山毒霸2002解开一段恶意代码的方法。
　　
　　有一天，我在金山毒霸论坛查看帖子，发现有网友说有一段非常厉害的恶意代
码，可以禁止使用你的电脑，我看了这段代码，发现关键的代码就是在于以下这一
句：
　　Shl.RegWrite
("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer
\\RestrictRun", 1);
　　这里就是关键所在了。因为如果在以下的项目中
　　
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer

　　有一个键是RestrictRun，而其键值是0，那么就没有问题；但是如果其键值是
1，那么就惨了。如果键值真是1的话，那么你运行任何程序就会出现以下这句话：

　　　
　　“本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系”
　　
　　如果真是中了这样的恶意代码就很麻烦了，特别是在win2000之下，而你又没
有备份注册表，那么想解开它就是很困难的事情了。这时候也许你会尝试一些你所
知道的方法：打开注册表编辑器吧，不行！使用一些注册表恢复软件吧，不行！编
写一个reg文件导入吧，不行！写一个inf文件安装吧，不行！反正就是全部不行，
都是提示上边的那句话的，这时候也许你会一时无计可施了！的确，如果在
win2000之下的确是麻烦了。然而只要你善于利用你身边的工具，就可以很巧妙的
解开它了，这次使用的工具就是金山毒霸2002。你不需要高深的知识就可以解开它
了，究竟是如何巧妙利用金山毒霸2002解开这段恶意代码的呢？看我慢慢说来。（
由于win2000相对麻烦，以下我说的方法就是针对win2000的，而win98、winme的方
法也是一样的）
　　
　　首先，在C：盘的winnt目录中找到windows系统的注册表编辑器regedit.exe，
然后把它复制到金山毒霸2002的安装目录中去。
　　
　　然后把金山毒霸2002安装目录中的Watcher.EXE改名为任意名字，比如说是
Watcher1.EXE吧如下图：
　　

　　之后再把刚才复制到金山毒霸2002安装目录的注册表编辑器regedit.exe改名
字为Watcher.EXE，如上图。
　　
　　跟着就随便找到一个文件夹，用右键单击文件夹，选择金山毒霸查毒，那么这
时候你会发现金山毒霸2002的主程序调用出来了，查毒完毕之后你就马上单击金山
毒霸2002主程序右边的控制中心的病毒防火墙按钮，如下图红色框：
　　

　　这时候你发现什么了呢？原来打开的不是金山毒霸防火墙，而是注册表编辑器
，OK！马山找到让恶意代码修改的项目，把那个键值改为0，重启电脑，你就会发
现你原来打不开的所有程序都可以畅通无阻地打开了。
　　
　　最后就把那个由注册表编辑器改的Watcher.EXE删除，把Watcher1.EXE改回
Watcher.EXE就大功告成了。
　　
　　其实这个方法就是利用了金山毒霸主程序加载防火墙文件是Watcher.exe，而
巧妙的把金山毒霸2002的防火墙文件改为注册表编辑器之后就可以成功打开注册表
编辑器了。
　　
　　所以说杀毒软件有时候除了查、杀、防病毒以外，还有一些妙用的，这次就是
巧妙的利用了金山毒霸2002解开了一个很麻烦的恶意代码，希望对大家使用金山毒

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店