[讨论]（c++或vb）widows如何暴力删除顽固的dll?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
oulei 雪币： 201 活跃值： (53) 能力值： (RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	oulei 2006-10-26 11:50 2 楼 0 用启动盘启动，在DOS中干掉它们就可以了.
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-10-26 14:26 3 楼 0 MoveFileEx。这个API比较好用
analog 雪币： 216 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	analog 2 2006-10-26 20:57 4 楼 0 用一下李马写的July3.00看看，可以卸载dll，但可能会导致系统不稳定 http://www.titilima.cn
kusky 雪币： 466 活跃值： (119) 能力值： ( LV9，RANK：190 ) 在线值：发帖 34 回帖 269 粉丝 1 关注私信	kusky 4 2006-10-28 03:28 5 楼 0 谢谢四楼，果然好东东！
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 76 回帖 1222 粉丝 10 关注私信	北极星2003 25 2006-10-29 08:02 6 楼 0 最初由 drwch* 发布* MoveFileEx。这个API比较好用很好的API MOVEFILE_DELAY_UNTIL_REBOOT The function does not move the file until the operating system is restarted. The system moves the file immediately after AUTOCHK is executed, but before creating any paging files. Consequently, this parameter enables the function to delete paging files from previous startups. This flag can only be used if the process is in the context of a user who belongs to the administrator group or the LocalSystem account.
kusky 雪币： 466 活跃值： (119) 能力值： ( LV9，RANK：190 ) 在线值：发帖 34 回帖 269 粉丝 1 关注私信	kusky 4 2006-10-29 18:38 7 楼 0 谢谢版主。研究中。能不能提供些系统启动时怎样加载.sys的资料？比如，为什么先加载这个后加载那个？
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 2006-10-31 21:08 8 楼 0 如果只在一个进程空间中,注入之后2次freelibrary就可以了. 如果是多个进程加载了,则分别重复上述劳动就可以了.
kusky 雪币： 466 活跃值： (119) 能力值： ( LV9，RANK：190 ) 在线值：发帖 34 回帖 269 粉丝 1 关注私信	kusky 4 2006-11-4 19:03 9 楼 0 如果只在一个进程空间中,注入之后2次freelibrary就可以了. 如果是多个进程加载了,则分别重复上述劳动就可以了. 像我在一楼提到的第二种情况，当病毒注册了系统服务后，dll不存在于任何应用进程中。那就不能freelibrary了。这种能在windows下停止这种服务并删除sys文件吗？
VIRVIR 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	VIRVIR 2006-11-5 12:46 10 楼 0 对于注册为系统服务的dll来说，也是有实体存在的，所以只要删除文件也是可以的，也可以卸载服务，可以用hijackthis来协助。。。 --------------------- http://virvir.blogbus.com QQ:414947531
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
oulei 雪币： 201 活跃值： (53) 能力值： (RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	oulei 2006-10-26 11:50 2 楼 0 用启动盘启动，在DOS中干掉它们就可以了.
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-10-26 14:26 3 楼 0 MoveFileEx。这个API比较好用
analog 雪币： 216 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	analog 2 2006-10-26 20:57 4 楼 0 用一下李马写的July3.00看看，可以卸载dll，但可能会导致系统不稳定 http://www.titilima.cn
kusky 雪币： 466 活跃值： (119) 能力值： ( LV9，RANK：190 ) 在线值：发帖 34 回帖 269 粉丝 1 关注私信	kusky 4 2006-10-28 03:28 5 楼 0 谢谢四楼，果然好东东！
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 76 回帖 1222 粉丝 10 关注私信	北极星2003 25 2006-10-29 08:02 6 楼 0 最初由 drwch* 发布* MoveFileEx。这个API比较好用很好的API MOVEFILE_DELAY_UNTIL_REBOOT The function does not move the file until the operating system is restarted. The system moves the file immediately after AUTOCHK is executed, but before creating any paging files. Consequently, this parameter enables the function to delete paging files from previous startups. This flag can only be used if the process is in the context of a user who belongs to the administrator group or the LocalSystem account.
kusky 雪币： 466 活跃值： (119) 能力值： ( LV9，RANK：190 ) 在线值：发帖 34 回帖 269 粉丝 1 关注私信	kusky 4 2006-10-29 18:38 7 楼 0 谢谢版主。研究中。能不能提供些系统启动时怎样加载.sys的资料？比如，为什么先加载这个后加载那个？
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 2006-10-31 21:08 8 楼 0 如果只在一个进程空间中,注入之后2次freelibrary就可以了. 如果是多个进程加载了,则分别重复上述劳动就可以了.
kusky 雪币： 466 活跃值： (119) 能力值： ( LV9，RANK：190 ) 在线值：发帖 34 回帖 269 粉丝 1 关注私信	kusky 4 2006-11-4 19:03 9 楼 0 如果只在一个进程空间中,注入之后2次freelibrary就可以了. 如果是多个进程加载了,则分别重复上述劳动就可以了. 像我在一楼提到的第二种情况，当病毒注册了系统服务后，dll不存在于任何应用进程中。那就不能freelibrary了。这种能在windows下停止这种服务并删除sys文件吗？
VIRVIR 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	VIRVIR 2006-11-5 12:46 10 楼 0 对于注册为系统服务的dll来说，也是有实体存在的，所以只要删除文件也是可以的，也可以卸载服务，可以用hijackthis来协助。。。 --------------------- http://virvir.blogbus.com QQ:414947531
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复