就这样跳过杀毒软件
作者:丁小光
来源:《电脑知识与技术·经验技巧》2008年第12
        杀毒软件的功能越来越强,官方的宣传也越来越悬:主动防御,未知病毒拦截,深度查杀,核心扫描等等。搞的新手以为装个反病毒软件就天下太平,高枕无忧了。可实际情况怎么样呢?木马病毒真的无法躲避杀毒软件的查杀吗?恐怕事实并非如此!
       
        1 RAR加密轻松跳过杀毒软件查杀
        电脑文件夹怎么设置密码HackerTEST文件夹中存有病毒样本,此时启用卡巴斯基扫描该文件夹,检测到病毒(图1)。右键单击该文件夹→“添加到压缩文件,打开参数设置窗口,点击高级”→“设置密码,输入密码,勾选加密文件名,点击确定。现在再启用卡巴斯基扫描加密后病毒样本压缩包,已经检测不到病毒(图2)。
       
        2 巧用MD命令建立特殊文件夹
        打开命令提示符,输入并执行“MD C:\\”C盘建立特殊文件夹(注意,此时在C盘出现的文件夹是而不是在命令提示符中执行命令时的\),在命令提示符下输入并执行“start c:\\”打开这个特殊文件夹,把病毒测试样本拷贝进去。拷贝文件后我们会发现在C盘一个名为ding的文件夹(图3),删除名为ding的文件夹。在文件夹上单击鼠标右键,在弹出的菜单中已经没有了病毒扫描选项,而在正常的文件夹中是有病毒扫描选项的(图4),此时就算我们对C盘进行全盘扫描,也不会有病毒警报。若要删除该特殊文件夹,在命令提示下执行“RD /S C:\\”即可。该方法在卡巴等一些国外杀软件中测试通过,但在部分国产杀软中(如瑞星)未能测试通过。
       
        3 CACLS将杀毒软件拒之门外
        CACLSWINDOWS操作系统自带的一个命令提示符下的工具,用于显示或者修改文件的访问控制表(ACL),即设置文件(夹)的访问权限。在E盘下建立HackerTEST文件夹,
将病毒样本拷贝至该文件夹中。打开命令提示符,输入并执行“CACLS E:\HackerTEST /C /E /P everyone:N”。其中参数/C表示在出现拒绝访问错误时继续,参数/E表示编辑 ACL 而不替换,而/P everyone:N则表示将所有用户对该文件夹的操作权限设置为拒绝(图5)。现在进行E盘,对HackerTEST文件夹进行病毒扫描,无病毒警报(图6),若要解除文件夹权限,在命令提示任中输入并执行“CACLS E:\HackerTEST /C /E /P everyone:F”即可,参数/P everyone:F表示恢复所有用户对该文件夹的操作权限。
        需要注意的,通过CACLS进行文件(夹)的权限设置,只能针对NTFS格式的分区,如果当前分区不是NTFS格式,可以在命令提示符中输入并执行“convert X:/fs:ntfs”命令将FAT32分区无损转换为NTFS格式(其中X:表示FAT32分区的盘符)。文中的代码大家可以写成批处理来简化操作过程。