[Windows] 使用 GMER 停止砍不掉的 process

[Windows] 使用 GMER 停止砍不掉的 process

最近因為公司的一個比賽,又接觸到了 Rootkit tool,

發現 Rootkit tool 雖然常被病毒拿來做壞事,

但其實好人也是可以拿它來做有用的事情的~

 

舉例來說,假設有人在你的電腦裡種了個惡意的服務 (service) ,

然後設定成不能停止、也沒辦法砍掉,

這時以正規的作法自然是沒救了,

但我們可以拿 rootkit tool 來把它強制移掉~

 

1. 下載 rootkit 工具 GMER

這邊我用的是 GMER,可以到 GMER 的網頁

點下 Download EXE 這個按鈕,就會下載一個奇怪名稱的執行檔~

它名稱會很怪的原因是避免被防毒軟體直接偵測到,就擋住不讓你下載了~

 

2. 執行 GMER

執行之後,可以看到好幾個 tab,

可以在 Processes 頁面看到目前在執行的所有程式,

找到原本在工作管理員砍不掉的程式,按下 Kill process 就可以砍掉了~

Screen Shot 2015-05-24 at 上午12.24.54

 

在 Services 頁面可以修改 service 的啟動方式,

不過如果 service 已經被設定成不能修改的話,這個動作可能會失敗…

但不管如何,都還是可以用 Delete 強制砍掉 service:

Screen Shot 2015-05-24 at 上午12.25.54

 

在 Files 這邊可以強制砍掉被保護的檔案,

或是也可以複製檔案去蓋掉被保護的檔案:

Screen Shot 2015-05-24 at 上午12.26.15

 

在 Registry 這邊找到要修改的登錄值之後,

按右鍵 > Modify 就可以修改囉:

Screen Shot 2015-05-24 at 上午12.27.08  

 

GMER 算是一個蠻方便的 rootkit 工具,

好好善用的話,惡人手中的槍也可以變成我們去除障礙的好幫手喔~^^

 

 

(本頁面已被瀏覽過 584 次)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料