请问如何阻止一个程序运作-经典问答-看雪-安全社区|安全招聘|kanxue.com

请问如何阻止一个程序运作

发表于: 2010-4-15 18:47 13518

请问如何阻止一个程序运作

losiuhoi

2010-4-15 18:47

13518

如题，我要令它失效／停止运作
＊它不知怎样隐藏自己了
＊在工作管理员内是看不到的

[课程]Linux pwn 探索篇！

收藏・2

免费・0

支持

最新回复 (52) 1 2 3 ▶
Bony 雪币： 64 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 74 粉丝 0 关注私信	Bony 2 楼建议使用冰刃。可以查看到隐藏进程。然后kill。OK了。 2010-4-15 19:44 0
Bony 雪币： 64 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 74 粉丝 0 关注私信	Bony 3 楼 http://www.kanxue.com/tools/spy.htm 在这下载 2010-4-15 19:45 0
Bony 雪币： 64 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 74 粉丝 0 关注私信	Bony 4 楼 IceSword.120_CN 就是这个 2010-4-15 19:45 0
losiuhoi 雪币： 846 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	losiuhoi 5 楼抱歉，忘了一点就是这个程序当被关掉之后会自己重开 2010-4-15 21:01 0
mopopo 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 71 粉丝 0 关注私信	mopopo 6 楼方法很多，比如用secpol.msc 2010-4-15 21:05 0
losiuhoi 雪币： 846 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	losiuhoi 7 楼不懂，可以详细一点吗？ 2010-4-15 21:15 0
mopopo 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 71 粉丝 0 关注私信	mopopo 8 楼在命令提示符下或“运行”中输入secpol.msc，然后创建一个“软件限制策略”，选择你要禁止的程序所在的文件夹 2010-4-15 22:48 0
losiuhoi 雪币： 846 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	losiuhoi 9 楼我那个帐号应该没有权限执行secpol.msc，还有别的方法吗？ 2010-4-16 00:08 0
mopopo 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 71 粉丝 0 关注私信	mopopo 10 楼你是要禁止某个保护或限制软件吧，没有权限就很难了 2010-4-16 09:29 0
zglzh 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	zglzh 11 楼一般情况下,程序停止会自己重开.应该是有另一个程序在监视第一个,如果第一个不在运行就启动它. 首先要找到这个监视程序,希望它是用定时判断的,间隔大一些.你动作速度快,可以用冰刃这类查看隐藏进程的关掉它.2个可能是互相监视的,都关掉. 另外,有权限,改这个程序的文件夹权限,把执行权限改掉,也许可以. 如果再没权限,就期待高人了. 2010-4-16 09:35 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 12 楼非共享模式打开执行文件或其启动必须使用的文件，再把这个程序关掉，然后就重开不了了 2010-4-16 10:43 0
Canis 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	Canis 13 楼开机F8进安全模式，再查杀 2010-4-16 11:28 0
losiuhoi 雪币： 846 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	losiuhoi 14 楼 secpol.msc我没有权限存取而IceSword却initialize failed，不能开启还有其它方法吗? 2010-4-20 08:57 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 15 楼 xuetr啊和冰刃差不多 2010-4-20 09:00 0
lljnjupt 雪币： 74 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	lljnjupt 16 楼嗯.试试XUETR.. 估计是内核禁用了.. 2010-4-20 09:29 0
losiuhoi 雪币： 846 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	losiuhoi 17 楼我开XueTr时它说"Load Driver Error" 在家里是可以用的 2010-4-21 15:50 0
xwhat 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	xwhat 18 楼个人建议: 下载wsyscheck安全辅助工具它可以查看隐藏的进程选择要结束的进程右键选择禁止该程序运行 wsyscheck会杀死这个进程并阻止其运行!! 希望对你的电脑有点用途!! (wsyscheck下载链接我就不附上了呵呵!) 2010-4-22 09:51 0
siwen 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	siwen 19 楼那就是检测查找木马了？先看自启动方式，如系统服务、ActiveX、SPI以及其它注册表启动项等，Delete掉；然后确定运行方式——DLL注入、代码注入还是Rootkit，可以使用多种工具，如果是32位的Windows操作系统，推荐XueTr、SysReveal、Gmer等ARK工具。如果都无果而归，可考虑MBR Rootkit等一些BootKit，使用WinHex、DiskGen等磁盘工具。如果仍然找不到的话，重启吧，难说是指运行一次的木马，重启失效。 2010-4-23 01:52 0
wshrdiy 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wshrdiy 20 楼没有管理员权限，这个就很难了你连管理员权限都没有，还管那么多干嘛？ 2010-4-23 10:33 0
gaollxu 雪币： 1085 活跃值： (114) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 273 粉丝 1 关注私信	gaollxu 2 21 楼在程序所在的目录建一个空的ws2_32.dll 文件，重新启动机器后，那么这个程序就无法运行了。原理：一般网络相关的程序都要调用ws2_32.dll。程序首先在本目录下找ws2_32.dll ，找不到再去系统目录下找。在本目录下放一个假的ws2_32.dll ，这样程序找到的是错误的ws2_32.dll从而达到无法运行。 2010-4-23 12:04 0
panx 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	panx 22 楼我用冰刀查不到U盘病毒程序进程。下面是这个病毒加载脚本： [AuToRun] open=RunDll32.exe .\Thumbs.lnk,GetPic shell\open=打开(&O) shell\open\Command=RunDll32.exe .\Thumbs.lnk,GetPic shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=RunDll32.exe .\Thumbs.lnk,Explorer 怎么杀掉它的进程？ 2010-4-24 18:00 0
dljzt 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	dljzt 23 楼哦自动运行病毒给我KX 我告诉你 2010-4-26 14:35 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 24 楼 [QUOTE=panx;796634]我用冰刀查不到U盘病毒程序进程。下面是这个病毒加载脚本： [AuToRun] open=RunDll32.exe .\Thumbs.lnk,GetPic shell\open=打开(&O) shell\open\Command=RunDll32.exe .\Thumbs.lnk,...[/QUOTE] RunDll32.exe加载了该病毒，通常插入explorer后便停止了，或者再运行其他病毒程序 2010-4-26 16:35 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 25 楼另：lz话说的不清楚，恐怕别人很难帮忙的 2010-4-26 16:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

losiuhoi

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (52) 1 2 3 ▶
Bony 雪币： 64 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 74 粉丝 0 关注私信	Bony 2 楼建议使用冰刃。可以查看到隐藏进程。然后kill。OK了。 2010-4-15 19:44 0
Bony 雪币： 64 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 74 粉丝 0 关注私信	Bony 3 楼 http://www.kanxue.com/tools/spy.htm 在这下载 2010-4-15 19:45 0
Bony 雪币： 64 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 74 粉丝 0 关注私信	Bony 4 楼 IceSword.120_CN 就是这个 2010-4-15 19:45 0
losiuhoi 雪币： 846 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	losiuhoi 5 楼抱歉，忘了一点就是这个程序当被关掉之后会自己重开 2010-4-15 21:01 0
mopopo 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 71 粉丝 0 关注私信	mopopo 6 楼方法很多，比如用secpol.msc 2010-4-15 21:05 0
losiuhoi 雪币： 846 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	losiuhoi 7 楼不懂，可以详细一点吗？ 2010-4-15 21:15 0
mopopo 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 71 粉丝 0 关注私信	mopopo 8 楼在命令提示符下或“运行”中输入secpol.msc，然后创建一个“软件限制策略”，选择你要禁止的程序所在的文件夹 2010-4-15 22:48 0
losiuhoi 雪币： 846 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	losiuhoi 9 楼我那个帐号应该没有权限执行secpol.msc，还有别的方法吗？ 2010-4-16 00:08 0
mopopo 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 71 粉丝 0 关注私信	mopopo 10 楼你是要禁止某个保护或限制软件吧，没有权限就很难了 2010-4-16 09:29 0
zglzh 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	zglzh 11 楼一般情况下,程序停止会自己重开.应该是有另一个程序在监视第一个,如果第一个不在运行就启动它. 首先要找到这个监视程序,希望它是用定时判断的,间隔大一些.你动作速度快,可以用冰刃这类查看隐藏进程的关掉它.2个可能是互相监视的,都关掉. 另外,有权限,改这个程序的文件夹权限,把执行权限改掉,也许可以. 如果再没权限,就期待高人了. 2010-4-16 09:35 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 12 楼非共享模式打开执行文件或其启动必须使用的文件，再把这个程序关掉，然后就重开不了了 2010-4-16 10:43 0
Canis 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	Canis 13 楼开机F8进安全模式，再查杀 2010-4-16 11:28 0
losiuhoi 雪币： 846 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	losiuhoi 14 楼 secpol.msc我没有权限存取而IceSword却initialize failed，不能开启还有其它方法吗? 2010-4-20 08:57 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 15 楼 xuetr啊和冰刃差不多 2010-4-20 09:00 0
lljnjupt 雪币： 74 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	lljnjupt 16 楼嗯.试试XUETR.. 估计是内核禁用了.. 2010-4-20 09:29 0
losiuhoi 雪币： 846 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	losiuhoi 17 楼我开XueTr时它说"Load Driver Error" 在家里是可以用的 2010-4-21 15:50 0
xwhat 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	xwhat 18 楼个人建议: 下载wsyscheck安全辅助工具它可以查看隐藏的进程选择要结束的进程右键选择禁止该程序运行 wsyscheck会杀死这个进程并阻止其运行!! 希望对你的电脑有点用途!! (wsyscheck下载链接我就不附上了呵呵!) 2010-4-22 09:51 0
siwen 雪币： 235 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	siwen 19 楼那就是检测查找木马了？先看自启动方式，如系统服务、ActiveX、SPI以及其它注册表启动项等，Delete掉；然后确定运行方式——DLL注入、代码注入还是Rootkit，可以使用多种工具，如果是32位的Windows操作系统，推荐XueTr、SysReveal、Gmer等ARK工具。如果都无果而归，可考虑MBR Rootkit等一些BootKit，使用WinHex、DiskGen等磁盘工具。如果仍然找不到的话，重启吧，难说是指运行一次的木马，重启失效。 2010-4-23 01:52 0
wshrdiy 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wshrdiy 20 楼没有管理员权限，这个就很难了你连管理员权限都没有，还管那么多干嘛？ 2010-4-23 10:33 0
gaollxu 雪币： 1085 活跃值： (114) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 273 粉丝 1 关注私信	gaollxu 2 21 楼在程序所在的目录建一个空的ws2_32.dll 文件，重新启动机器后，那么这个程序就无法运行了。原理：一般网络相关的程序都要调用ws2_32.dll。程序首先在本目录下找ws2_32.dll ，找不到再去系统目录下找。在本目录下放一个假的ws2_32.dll ，这样程序找到的是错误的ws2_32.dll从而达到无法运行。 2010-4-23 12:04 0
panx 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	panx 22 楼我用冰刀查不到U盘病毒程序进程。下面是这个病毒加载脚本： [AuToRun] open=RunDll32.exe .\Thumbs.lnk,GetPic shell\open=打开(&O) shell\open\Command=RunDll32.exe .\Thumbs.lnk,GetPic shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=RunDll32.exe .\Thumbs.lnk,Explorer 怎么杀掉它的进程？ 2010-4-24 18:00 0
dljzt 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	dljzt 23 楼哦自动运行病毒给我KX 我告诉你 2010-4-26 14:35 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 24 楼 [QUOTE=panx;796634]我用冰刀查不到U盘病毒程序进程。下面是这个病毒加载脚本： [AuToRun] open=RunDll32.exe .\Thumbs.lnk,GetPic shell\open=打开(&O) shell\open\Command=RunDll32.exe .\Thumbs.lnk,...[/QUOTE] RunDll32.exe加载了该病毒，通常插入explorer后便停止了，或者再运行其他病毒程序 2010-4-26 16:35 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 25 楼另：lz话说的不清楚，恐怕别人很难帮忙的 2010-4-26 16:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复