这篇文章真是来得太迟了,被读者朋友们催了好多天,但是放在作者博客上的文章被不小心删除了,要想恢复一篇同序号的博客文章还真是不容易,还好番茄还是想办法弄出来了,以后番茄的文章还是放在自己的博客为妥,这里向大家赔个不是了,抱歉抱歉!下面就奉上完整的唐华朋友那篇《把卡巴斯基装进U盘里》完整不缺分毫版!
:又是唐华,他快要把挑战之星包下来了,作为附加题目提出的:“既然金山有U盘版的杀毒软件,各位高手能把卡巴斯基安装在U盘里,做成U盘版的卡巴斯基杀毒软件吗?这是读者xiyuaoxue朋友提供的题目,非常有挑战性,大家可以单独想办法解答这个问题”,这个题目唐华朋友给大家做了一套非常完整的方法,今天我们就来分享一下!
把卡巴斯基装进U盘里
■新疆/唐华
众所周知,卡巴斯基是一款查杀能力非常强的杀毒软件,可以识别并清除一些其它杀软认不出的病毒,但是其较高的资源占用率也使大部分朋友对其望而却步。那么,对于我们这些机器配置不高的用户来说,难道只能望巴兴叹了吗?当然不是。经过我的一番努力,终于将具有杀毒功能的卡巴装进了一个普通U盘中,并且可以随时升级。这样,当遇到顽固病毒或者怀疑病毒没有被清理干净的时候,只要将这个杀毒U盘插进电脑,就能够使用卡巴来进行查杀了。
:制作U盘的准备工作比较烦琐,大家并非必须了解,我们先把制作的过程详述,如果需要了解全部过程的朋友可以到番茄的博墅看看。我们的制作过程是依据卡巴斯基反病毒软件6.0个人版(下载地址:http://download.zol.com.cn/detail/16/156876.shtml)完成的,大家可以参考。
充分准备 下载助手来帮忙
俗话说,一个好汉三个帮,为了完成这一任务,我们需要下载以下几位免费助手。
1.RegShot(下载地址:
http://www.onlinedown.net/soft/12432.htm)。一款简单、实用的注册表比较工具,可同时检察注册表、 Win.ini、System.ini 中的键值以及目录中文件的变化;
2.Orca(下载地址:
http://www.onlinedown.net/soft/9613.htm)。由微软提供的用于 Windows Installer 数据库表编辑器,可用来编辑 Windows Installer 数据库文件(.msi)、合并模块文件(.msm)、补丁文件(.msp)、内部一致性计算程序文件(.cub)和补丁创建属性文件(.pcp)。是修改和本地化 Windows Installer 数据库的最佳辅助工具;
3.Reg2Inf(下载地址:
http://www.greendown.cn/soft/2185.html)。一个命令行工具,可以将注册表项文件(.reg)转换为安装信息文件(.inf)。
小提示:为避免干扰后继过程,建议下载完成后就安装Orca。
:下面的内容就是大家在杂志未能领略,但有是非常重要技术含量相当高的部分,这也是很多朋友对文章提出质疑的地方,不过看过了全文,相信你能够学到不少。
仔细排查 找出软件安装的蛛丝马迹
1.初步分析
首先运行RegShot,在弹出的窗口中(如果出现的不是中文界面,则在该窗口右下角的下拉菜单中选择“中文GB”即可)勾选“扫描[s]”并将路径改为“C:\”(此为系统盘符,可根据实际情况自行更改),再将“输出路径”改为一个容易找到的位置,最后点击“摄取[1]”按钮,在弹出的菜单中点击“摄取”命令(见图1)进行扫描。注意完成后不要将其关闭。
图1
接下来安装卡巴(最好将其安到英文目录下,否则授权文件可能会导入失败),由于我们只需它的杀毒功能,同时为避免与其它杀毒软件冲突,因此选择自定义安装,在接下来的窗口中取消“实时保护组件”(见图2),安装完成后,不论有没有卡巴的授权文件均在“欢迎”窗口中选择“稍候激活”(见图3),点击“下一步”,在“更新”窗口中选择“更新模式”为“手动”并点击“立即更新”下载最新的病毒库(见图4),点击“下一步”,在“常规扫描”窗口中取消“扫描启动对象→在程序启动时”的勾选(见图5),等待卡巴启动后,单击系统托盘图标打开卡巴主界面,选择“设置→保护”,取消“在系统启动时运行卡巴斯基反病毒”的勾选(见图6),然后在“设置→服务→报告、隔离和备份”中勾选“只保留最近事件”并将两个天数都改为1天(见图7)。经过以上设置可以加快卡巴的启动速度并减小其空间占用。
图2
图3
图4
图5
图6
图7
然后激活RegShot窗口,点击“摄取[2]”按钮,方法同上,最后点击“比较”,等待片刻,一份详细的变更报告就会出现在你的眼前(以~开头的文件)。可是,面对密密麻麻的注册表键值到底那些才是真正必须的呢?这时,我们就要运行Orca,在其主窗口中点击“文件→打开”,找到你下载的KAV6安装文件打开它,然后在左侧窗口中找到“Registry”项,单击后在右侧窗口中出现的就是卡巴在安装时向注册表中写入的值(见图8)。
图8
仔细分析后发现其主要是在“HKEY_LOCAL_MACHINE\SOFTWARE”及“HKEY_CURRENT_USER\Software”下新建了“KasperskyLab”项并且对“HKEY_LOCAL_MACHINE”下的“
SYSTEM\CurrentControlSet\Services”、“SOFTWARE\Microsoft\Windows\CurrentVersion\Run”、“SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices”、及“SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon”也有所改动。而在报告的下面则可以看出其在“C:\WINDOWS\system32\drivers\”中添加了五个文件“fidbox.dat”、“fidbox.idx”、“fidbox2.dat”、“fidbox2.idx”以及“klif.sys”,在“C:\Documents and Settings\All Users\Application Data\”中添加了“Kaspersky Lab”目录。
小提示:Orca右侧窗口Root项下的1代表“HKEY_CURRENT_USER”键,2代表“HKEY_LOCAL_MACHINE”键。
不过现在还不能肯定卡巴的激活信息存放在那里,再次运行RegShot进行“摄取[1]”操作,接下来运行卡巴,在其主界面下选择激活,按提示导入授权文件,激活RegShot窗口,进行“摄取[2]”,最后点击“比较”,分析生成报告,可以看到改变的键值主要有“HKEY_USERS\数字\Software”与“HKEY_LOCAL_MACHINE\SOFTWARE”下的“KasperskyLab”项、“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography”下的“RNG”项以及“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates”下的“SPC”项,同时“C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\”目录也增加了一个文件。
小提示:实际上,“HKEY_USERS\数字”键就是“HKEY_CURRENT_USER”键,它们两个是等效的。
2.深入调查
运行“regedit.exe”打开注册表编辑器,首先将上文中提到的“KasperskyLab”、“RNG”、“SPC”三项导出(找到该项,在其上右击,选择“导出”即可),然后分别定位到另外的的几个键下,分析后发现在“Services”下与卡巴相关的有“AVP”、“klif”两项,而“klogon”却并不存在,这时再次用Orca查看KAV6源程序发现“klogon”后的“Component”中注有“klogon.dll”,但在C盘也未找到该文件,分析可能是由于没有完全安装KAV6所致,另外的“Run”、“RunServices”两项是系统启动时的自启动项,由于是将卡巴放到U盘,因此也不需要。接下来导出“AVP”及“klif”,然后与“KasperskyLab”、“RNG”、“SPC”中的内容拷贝到一个reg文件中并命名为“运行”。
最后为防止以后还需要用到注册表中的内容,选择“文件→导出”,将改变后的注册表导出备份。
精心制作,打造自己的卡巴杀毒U盘
经过上面的分析,我们已经可以确定卡巴对系统做的更改了。现在把U盘接入电脑,开始进行制作。
1.文件部分
将整个KAV6安装目录拷贝到U盘,再将授权文件及“C:\Documents and Settings\All Users\Application Data\”中的“Kaspersky Lab”目录拷入KAV6安装目录下,然后在该目录下新建一个“Drivers”目录并将“fidbox.dat”、“fidbox.idx”、“fidbox2.dat”、“fidbox2.idx”以及“klif.sys”拷入其中(其中前四个文件只能在安全模式下拷贝)。
2.注册表部分
通过分析我们看到在导出的注册表文件中包含绝对路径,如果只是将其改为自己的U盘路径的话肯定不具有通用性,但使用inf文件则可引入相对路径。
打开命令提示符,在其中输入“路径\Reg2Shot.exe -w -t 路径\运行.reg 路径\安装.inf”(见图9)(可以直接将相应文件拖到命令提示符,就不用麻烦的输入路径了),转换完成后用记事本打开这个inf文件,选择“编辑→替换”将“C:\Documents and Settings\All Users\Application Data”、“C:\WINDOWS\system32”、卡巴的安装路径(比如“D:\KAV6”)以及授权文件所在路径(比如“D:\”)替换为“%01%”,复查一遍确认所有路径已经更改完毕后关闭保存。
图9
接下来新建一个文本文件,在其中输入以下内容保存为“卸载.reg”:
REGEDIT4
[-HKEY_CURRENT_USER\Software\KasperskyLab]
[-HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVP]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klif]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\SPC]
3.控制部分
再新建三个文本文件,在第一个文件中输入以下内容保存为“运行.cmd”:
@echo off
RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 128 .\KAV6\运行.inf
start avp.exe
在第二个文件中写入以下内容保存为“退出.cmd”:
@echo off
taskkill /f /im avp.exe >nul
regedit /s .\KAV6\退出.reg
注意以上两个cmd文件中的KAV6为卡巴在U盘中的目录,可根据实际情况自行更改。
在第三个文件中输入以下内容保存为“AutoRun.inf”。
[AutoRun]
open=explorer.exe
shell=运行&KAV6\command\运行.cmd
shell=退出&KAV6\command\退出.cmd
全部完成后,将“运行.inf”、“退出.reg”放入U盘上卡巴的根目录,将“运行.cmd”、“退出.cmd”及“AutoRun.inf”放入U盘根目录(为防止对U盘操作时误删除这三个文件,建议将其设为隐藏属性)。
4.后期试用,查漏补缺
删除先前安装的卡巴并重启电脑,接入U盘,右击U盘图标,在菜单中选择相应命令发现可以正常运行,但右键菜单中的“扫描病毒”项不见了,再次打开RegShot对卡巴安装前后的比较报告,分析后发现与卡巴相关的右键菜单项有5个,均在“HKEY_CLASSES_ROOT”键下,分别是:“*\shellex\ContextMenuHandlers\Kaspersky Anti-Virus”、“CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}\InProcServer32”、“Drive\shellex\ContextMenuHandlers\Kaspersky Anti-Virus”、“Folder\shellex\ContextMenuHandlers\Kaspersky Anti-Virus”及“Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved”。在前面备份的注册表中找到这几项,按上述方法制作为inf文件并添加进“安装.inf”,然后在“卸载.reg”中加入以下内容:
[-HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Kaspersky Anti-Virus]
[-HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}\InProcServer32]
[-HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\Kaspersky Anti-Virus]
[-HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\Kaspersky Anti-Virus]
[HKEY_CLASSES_ROOT\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{dd230880-495a-11d1-b064-008048ec2fc5}"=-
这样就可以通过右键菜单调用卡巴了。不过运行后发现,一旦使用右键菜单进行扫描,就只有先在任务管理器中结束“explorer.exe”进程,然后再运行它,重新回到桌面后才能删除U盘。
小提示:在比较报告中会看到以上各项是在“HKEY_LOCAL_MACHINE\SOFTWARE\Classes”下,实际上它与“HKEY_CLASSES_ROOT”是等效的。
另外,为了更方便的控制卡巴运行,我用AutoIt脚本写了两个小程序,分别适用于带右键菜单与不带右键菜单的情况,根据你的需要选择一个放入U盘根目录(这时就不需要“运行.cmd”、“退出.cmd”及“AutoRun.inf”了),双击即可运行(也可以参照上文方法将其加入到U盘的右键菜单中),退出卡巴即可完成卸载。不过某些杀软会将其误报为病毒(例如瑞星),此时只要在弹出的杀毒对话框中选择“忽略”即可。
最后说明一下,使用这个卡巴杀毒U盘会造成卡巴斯基公司的其它软件出错,因此使用前务必确认机器上没有卡巴斯基公司的其它软件。
小提示:用记事本打开“KAV6\Skin\sch”目录中的“main.loc”文件,更改“[ProductTitle]”及“[ProductTitleLong]”下“default”的值会改变卡巴标题栏的名称,如果将其该为你自定的名字,如“卡巴斯基杀毒U盘 CFan版”,相信会使你的杀毒U盘更有个性。
小提示:读者衷汉丞朋友提醒大家注意:如果要拔出U盘,请先关闭卡巴斯基,再安全删除硬件,不然可能引起数据丢失!!不过唐华朋友也为大家提供了快速安装卸载U盘版卡巴斯基的工具,大家在严格安装上文的方法做出U盘版卡巴斯基后才可以正常使用,下载的地址在:
http://work.newhua.com/cfan/200710/autokav.rar
附件:
[
本帖最后由 番茄蛋饭 于 2007-6-13 13:14 编辑 ]
