注意：谨以此文章献给我的父亲和母亲，感谢他们对我多年来的养育之恩。

原创声明：
中国暗域网络技术资讯站原创文学，冰血封情2002年中国黑客联盟华北站早期作品，作者 冰血封情<EvilOctal>，转载劳烦著名出处。

拙笔正文：
广大的菜鸟兄弟们一定曾经中过一些病毒，杀毒软件无法杀掉，最终只好格式化
计算机！
其实这些杀毒软件无法杀的病毒不一定是未知的新病毒，而是有些病毒感染了正
在运行的文件，而杀毒软件又无法改写这些正在被写数据的文件！
今天，冰血封情就教教大家如何，对付这些感染了动态文件却无法杀掉的已知病
毒！
不知道大家有没有听说过WININIT这个文件？这次我们的主角就是它！
首先，当你的动态文件感染了病毒时（如WINME的系统还原文件夹中的文件），
通常杀毒软件会告诉你无法查杀！（当然，如果真是WINME的系统还原文件夹中
的文件感染了病毒还有其他的方法，我这里只是教大家方法，是泛指！）
请你将感染已知病毒的文件复制一份，复制品就不会正在被写入，将已经处于静
态的复制品去毒。
然后，在WINDOWS目录下创建一个WININIT.INI文件（创建之前应该检查该文件是
否存在！），建立[RENAME]段，加入一行：染毒文件名=复制品文件名
保存即可！
如果不止一个文件感染不同的病毒，可以在[RENAME]段的染毒文件名=复制品文
件名下再加一行！

灌水广告：
——文章原创由 中国暗域网络 及 邪恶八进制 冰血封情<EvilOctal>
——Be powered by Hackway Power of Cn & EvilOctal Security Group EvilOctal
——欢迎访问 www.HackWay.net & www.EvilOctal.com

不用这么麻烦吧？
Hook MmFlushImageSection似乎就可以了，而且好象不少杀软也正是这么做的呀。
如俺的附件所示，运行之后，就可随便改写正在运行的程序了。

不好意思,试了下,大部分运行中的可执行程序都可以删除....是不是现在的系统不同了???

怪求不得，2004年的文章，谁顶出来的，faint。

既然看了 那也留个名吧
中国暗域 看到这四个字大吃一惊
我想 如果不是服务器被扣 EST（记得当时的说法是ESG.CN）还是一个不公开的组织吧
当然 在冰血的管理下 暗域应该也有着同样的辉煌
回到主题上 个人比较喜欢Sysinternals Procexp