经常去IB(网吧)的人都知道,很多软件都是禁止运行的,如一些下载软件:迅雷、BT、Emule;流氓软件:Icibadown.exe 豆豆词霸、yassistse.exe 雅虎上网助手;还有一些破坏类软件等等,都是禁止运行的。这些软件或进程打开一闪就关闭了,有的是弹出一个CMD窗口,也是一闪既逝;还有的是弹出一个对话框显示“此操作已被网络GLY禁止”,如此种种,就是不让你用,想必大家都很郁闷吧!
其实每一种禁止方法都有不同的显示效果,如上述第三中情况就是通过组策略来禁止的,但不经常用于软件上,主要是用于电脑的各类功能或选项卡上,如禁止“运行”,删除“映射网络驱动器”选项卡,删除资源管理器上的“新任务”按纽等等,只要进入C:\WINDOWS\system32中打开gpedit组策略自己动手修改即可。
但大多数的软件禁止都没这么简单就可修改,通过这两天的研究,终于总研究出IB中是如果禁止软件运行的方法了,结出一种很简单的方法。要说方法,还是要从前两天做的一个实验说起。那天从网上下了个迅雷,安装上后无法运行,闪一下就消失了,后来调出任务管理器再运行发现有个程序随着迅雷开启,也是一闪就自动消失了,显现时间很短,但还是看清楚了,是个叫PTarget.exe的程序,从网上查询后得知是网维大师的附属程序,这个程序是安全中心用映像劫持的方式来禁止进程的程序。知道后怀疑是从网维大师来禁止程序运行的,后来看了网维大师的官网以及查询后得知网维大师的安全中心是由ProcessSafe.exe程序控制,客户端在E:\NBMSClient\ProcessSafe目录下生成一个ProcessSafe.ini 的配置文件,从ProcessSafe.ini就可以看出被禁止的程序名以及被禁止的字符和网址。说明一下ProcessSafe.ini中的名称含义:
[ProcessDeny]是被限制进程 [HostsDeny]是被限制网址 [WindowDeny]是被限制标题 [ProcessProtect]是被保护进程(如网维大师本身)
知道后只要修改后再让ProcessSafe.exe重新载入一遍就行了,但是ProcessSafe.exe本身就是随着电脑的启动而启动的,且在任务管理器中无法结束此进程:
要是重启所修改的内容就会失效,所以只能现在直接强行结束ProcessSafe.exe才行,被结掉后,配置文件中的内容也就不用管了。但用了很多方法都无法结束进程,后来无意中想到NTSD命令,用NTSD命令100%没问题,我再说一下NTSD命令吧,用NTSD结束进程的格式:
方法1. ntsd -c q -p PID
方法2. ntsd -c q -pn ImageName (比如:ntsd -c q -pn qq.exe)
ntsd后面的-c是表示执行debug命令
q表示执行结束后退出(quit)
-p 表示后面紧跟着是你要结束的进程对应的PID
-pn 表示后面紧跟着是你要结束的进程名(process_name.exe 比如:QQ.exe,explorer.exe等等,值得注意的是后缀名.exe是不可省略的,否则系统会告诉你“不支持此接口”)
在用NTSD时只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。ntsd从Win 2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程。当然ProcessSafe.exe更是不在话下。
说干就干,打开记事本,写上“ntsd -c q -pn ProcessSafe.exe”(真正写时不加引号),搞定后保存为*.bat或*.cmd文件,之后运行它就行了。
看看效果吧:
30秒后就会发现任务管理器中ProcessSafe.exe消失,封锁解除,但,不要高兴太早了,过十几秒后就会发现ProcessSafe.exe重新出现在任务管理器中,所以防止它重新运行只能在它结束时删除掉,当它运行时是无法强制删除的,删掉后就不会再出现了,这时,封锁才真正解除!
如果象我这样的懒人的话就直接在后面加一行就行了:
ntsd -c q -pn ProcessSafe.exe
del E:\NBMSClient\ProcessSafe.exe(我这里是E盘,不知道是不是网维都默认安装到这个位置,不是的话自己找吧)
好了,现在所有被禁止的软件和网页都可以运行和访问了。有时间再把通过组策略解除部分功能的使用的方法贴上来。看时间是否允许了~
如果网吧做的更绝,比如直接把NTSD程序从电脑里删除掉,那就只能去网上下载原程序了。
——原文发表于2008-11-9