大家好，我是水手，提起过杀软的主动防御可是今年热门话题，大都是什么修改时间过卡巴主动和恢复，SSDT表之类的话题，现在修改时间过卡巴主动对新版的卡巴已经不起作用了，恢复ssdt表要ring0级还要编写驱动兼容性也不是太好而且还容易引起蓝屏。

　　今天我给大家讲一下我自己的思路 “替换注册表启动软件重启安装过主动防御” 前提是要保证安装服务的电脑上有注册表启动软件，也就“HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Run”键值下的随机启动软件 。

　　下面讲一下流程，首先检查注册表RUN键值下的启动软件的名称和安装路径，如果是杀软的跳过然后查找软件进程，如果有就结束，备份启动软件把自己替换成启动软件然后退出或者强制重启，重启后安装服务 删除自己 把备份的启动软件还原。

　　上面就是我的思路水平有限，还请朋友们不要见笑。