使用knlps轻松干掉微点主动防御

　　【IT168 专稿】2008年各个杀毒厂商全部推出了主动防御. 各个厂商大打主动防御这个招牌。 最近在测试自己的免杀木马的时候发现， 可以躲过瑞星2008 跟Norton的查杀， 但是一运行的时候会被微点的主动防御提示。 百思不得其解 . 因为微点据说是行为判断。可以说是误杀的可能性大大减少了。

　　换句话说也就是我的木马运行以后他才判断是不是不明文件。 通过判断文件运行以后所做的动作来判断.

　　我在本地安装了微地点后发现三个进程为

　　MPSVC.exe

　　MPSVC1.exe

　　MPSVC2.exe

　　有了这三个进程 就知道了安装了微点了。 那么是不是我们干掉这三个进程就可以继续我们的行为了呢? 这里我使用了一个叫做knlps的工具 只有几K大小 DOS下运行。 超级适合我们在WEBSHELL里干掉微点后继续运行我们的木马

　　首先切换到我们的knlps目录 然后执行

　　>knlps -l 列举出所有的进程

　　然后查找到

　　MPSVC.exe

　　MPSVC1.exe

　　MPSVC2.exe 三个进程的PID值

　　然后继续执行

　　>knlps -k pid 就可以终止掉指定pid的进程 这样我们就可以干掉微点的主动防御进程 可以继续我们的木马运行

　　不过还有一点就是服务器重起以后微点又会重新建立主动防御进程，这样有可能我们的木马又会被查杀，

　　对于这个出来把微点全部搞掉还米啥好办法

　　这种方法主要适合在WEBSHELL里执行， 因为前几天我就碰到一个服务器装了微点. 服务器没开终端 我在SQL里执行上传的pcshare全部被杀掉 所以才找到这个办法。 工具超级小而且稳定。 是个对付杀软的好东西