TOM2000

有网友说可以使用PE结束瑞星2008的进程。我用PL测试确实是无法结束的！但是我也犯了一个严重的错误就是我用的是PL而不是PE，所以发现这个错误后我立即重新进程一次实验。我使用Wsyscheck进行一次模拟测试，结果我非常轻易的就可以结束RAVMON和RAVMOND这两个进程，但是2008主程序界面显示监控是开启的，为了确信进程被真正结束。我运行了一个病毒样本，结果样本顺利被运行。我之后注销计算机注意是“注销”结果重新启动后2008监控全部关闭，我手动开启后继续运行样本，结果样本首先被HIPS阻止，随后就被监控查杀。但是这次测试问题在于为什么第一次RAVMON和RAVMOND被结束后运行样本HIPS没有作用呢？因为我并没有结束HIPS进程！

既然发现了问题我们就一起来解决！因为没有编辑留白，所以截图排版有一些问题。希望大家谅解。如大家还是无法看明白可以参考http://forum.ikaka.com/topic.asp?board=210&artid=8371258

其它图就不给大家了，使用的工具都很常见大家有兴趣可以自己测试一下！

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

SYS是什么文件？这不很能说明问题吗？

我不写PE是因为，如果不举一反三HIPS是没有用处的？今天WY知道了，明天PE就不会，如果遇到真的病毒怎么办？主动防御的精髓不是规则而是使用者本身！

还有如果需要明天就会补上PE的图！