手工干掉LSP服务

最近很多木马病毒把服务写在LSP层，让人防不胜防，并且如果第一次成功安装后，以后使用的话杀毒软件也不会有任何提示，不过在360卫士里面的网络劫持那里到可以看到。

 

不过前两天在网上找到了个手工删除的方法。LSP服务安装的位置在注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WinSock2/Parameters/Protocol_Catalog9下，

其中子项Num_Catalog_Entries表示现阶段已经安装了几个服务，然后在Catalog_Entries下依次有每个服务的信息，序列号都是连续的。在发现哪个序列号里面PackedCatalogItem指向的dll名称有异样，可以直接把这项删除，再把后面的服务依次向前排，最后把Num_Catalog_Entries总数修改成删除后的总数，就OK了。

 

附：最近在写LSP服务的时候，发现如果dll的绝对路径里面包含了中文，会无效，并且整个网络就断了，呵呵，应该是写的时候unicode转化的函数有问题，不过以后要让人家不能上网就挺容易了，嘿嘿，:-(