上一篇
下一篇
MSDef.exe和MSKans.exe
作者:elyoo 日期:2007-05-11
也许已经有不少人中了这个MSKans的中招了吧,并且kb是不是还不能检测出来,国内的不能删除吧.实际上它在windows\system32里放了两个exe文件,MSDef and MSKans,还包括一个MSDef.dll,dll文件一般是提供对可执行文件的api支持,为什么这样说啦,一个.exe外挂一个.dll,可以提高额外的功能.简单吧.
现在来说以下该病毒都用了那些技术.很简单多半时候,你在任务管理器里,是找到不到此MSKans.exe进程的,MSDef是一个MFC的Win32程序.其实就是所谓的进程隐藏技术,PCB(对不对,嘿嘿,记不清楚了)的进程表里删除了其信息,相信看过linux的人,都知道该技术.实际上,删除进程信息表中的,并不会破坏一个程序的运行,不信,你可以试试,其实有其他的方法让程序自己去找到它需要的信息和资源.
关于病毒拦截杀毒软件的原理:
其实从计算机启动的那一刻,便发生了一些的中断,BIOS和系统都是通过中断来专让控制权的.系统中的每一个软件,模块都触发了不同的中断号,所以如果,病毒在杀毒软件之前获得了控制权就可以,关闭杀毒软件.现在程序自检已经不是什么技术难题,所以,你可以看到如果杀毒软件被非法关闭,它就会提示你.
下面说一个,怎么删除这个讨厌的MSKans,一般病毒都不运行的,你必须停止它,才能删除它,不过既然操作系统是人写的,那么就有办法可以删除它,介绍个工具给你吧---金山毒霸系统清理专家,使用这个提供给你的文件粉碎机功能把MSKans的C:\WINDOWS\system32\MSKans.exe和C:\WINDOWS\system32\MSDef.exe提供给它一删就可以了.
重启计算机,一切ok.
现在来说以下该病毒都用了那些技术.很简单多半时候,你在任务管理器里,是找到不到此MSKans.exe进程的,MSDef是一个MFC的Win32程序.其实就是所谓的进程隐藏技术,PCB(对不对,嘿嘿,记不清楚了)的进程表里删除了其信息,相信看过linux的人,都知道该技术.实际上,删除进程信息表中的,并不会破坏一个程序的运行,不信,你可以试试,其实有其他的方法让程序自己去找到它需要的信息和资源.
关于病毒拦截杀毒软件的原理:
其实从计算机启动的那一刻,便发生了一些的中断,BIOS和系统都是通过中断来专让控制权的.系统中的每一个软件,模块都触发了不同的中断号,所以如果,病毒在杀毒软件之前获得了控制权就可以,关闭杀毒软件.现在程序自检已经不是什么技术难题,所以,你可以看到如果杀毒软件被非法关闭,它就会提示你.
下面说一个,怎么删除这个讨厌的MSKans,一般病毒都不运行的,你必须停止它,才能删除它,不过既然操作系统是人写的,那么就有办法可以删除它,介绍个工具给你吧---金山毒霸系统清理专家,使用这个提供给你的文件粉碎机功能把MSKans的C:\WINDOWS\system32\MSKans.exe和C:\WINDOWS\system32\MSDef.exe提供给它一删就可以了.
重启计算机,一切ok.
文章来自: 
引用通告: 
Tags: 评论: 0 | 引用: 0 | 查看次数: 2456
发表评论
你没有权限发表评论!
