感谢海星的马尼克原创投递.
之前曾写过一篇文章(18311),结果引来不少网友的批评,很多人说我是要否定RAM的物理特性,这实在是冤枉我了,RAM的实际特性及工作的具体步骤,应该是十分复杂的,到底在操作过程中发生了什么,没有观察就没有发言权.我也仅仅是讲述了实际的情景,并做出自己的分析,也许分析的不够准确,甚至有偏差,但目的很简单,仅仅是想和大家共同探讨,弄清事情真相.
  之前的文章确实存在疑点,当时因为是通过网络和朋友清理的,没能现场了解情况,加上比较匆忙,有些细节分析考虑不周.事后总结了一下,问题也可能不在内存上,而是在htozip86.dll这个文件上,因为在后来给此dll文件解锁时,发现它在explorer.exe进程中存有数据,所以只要此dll文件依然占用进程,应该无法清除掉htozip86.sys文件.如果这种推断成立,那正确的做法应该是,先解锁并删除htozip86.dll文件,然后再删除htozip86.sys驱动文件.(虽然当时也想到了这情况,但是没有重视.)但这也只是一种猜测,原因到底是dll的守护没有破掉,还是内存没有清理干净,到现在也无法做出肯定的结论.毕竟朋友的机器已经清理干净了,不可能让他再中毒供我做试验,而由于物理特性的不同,用其他机器或虚拟机来重现这一环境基本是不可能的.
  但是,为什么第一次用权限法没能成功删除sys文件呢?而dll文件却得以删除?这个情况我认为,是sys文件当时被核心进程syetem占用,此时用 unlocker去解锁并删除它,实际上是启用了系统的延迟删除功能,需要等下一次启动后由smss.exe读取之前在注册表中注册的键值,来完成删除动作.但是因为这是驱动文件,等到smss.exe读取注册表键值再去删除它,可能已经晚了.

  看来,暂停线程、删除dll、删除sys,这几个动作一个都不能少,而且必须配合断电法或权限法中的一种,否则就可能前功尽弃.因每台机器的情况可能不尽相同,所以需要多试试才行.至于说DOS删除以及用xp启动盘进入恢复控制台来删除的方法,因为朋友对这两种方法都不会操作,所以也就放弃了,我这里说的仅是在windows环境下的删除方式.

  写这篇文章,只是想和大家共同探讨,积累宝贵经验,不论过程如何,但是只要最终能弄清楚前因后果,就是最重要的.限于本人水平有限,如有不准确和疏漏的地方,欢迎指正.

(另外,上一篇文章《这个流氓有点赖》的地址已经更换)