shulun743 - 2008-9-9 16:38:00
写这篇文章是因为,两天前的一篇帖子“狙剑能结束2009的进程”(http://bbs.ikaka.com/showtopic-8545783.aspx)--------得到的回复出乎我的意料!!
!有网友竟然说:“你加载驱动了吗?若加载,就不该2009的事!!!你这种
测试没有多大意义,拿IceSword、SnipeSword等工作于ring0层的反Rootkit工具来测式杀软的自我保护本
身就是很可笑的做法,为什么这么说呢?因为你运行SnipeSword时是抱着完全信任SnipeSword的心态来运
行的,你让SnipeSword拥有了系统的核心权限,它当然能逮谁灭谁喽,如果SnipeSword是个病毒你还能让
它这么轻易拿到核心权限吗?显然不会,如果SnipeSword真是个病毒的话,瑞星要限制它其实是非常容易的
,只要开启瑞星的驱动加载防御阻止SnipeSword加载驱动就能废了SnipeSword。 ”--------而现实中并不
是这样的!!!同样是在加载驱动的情形下,冰刃和狙剑为何不能结束卡巴斯基2009和江民2009的进程!
!!为何能结束结束瑞星的进程!!!既然瑞星如此怕加载驱动,为何不让它的驱动强着点呢!!!下面是版
主的回复:“
这个问题完全是因为瑞星工程师们开发这软件,过于谨慎。不想做的那么狠的驱动。
因为做到那么狠的驱动,在后期的几千万用户的使用中其不稳定性,会导致瑞星软件使用量下降的。
也许你们会说卡巴和江民的为什么稳定。那只是你们在一个小范围内看到其稳定性。在更大的范围内,因为驱动部分的不兼容性导致的问题,会比较多的。 ”-----------对于我们来说,超
强的自我保护---不稳定,可比磁碟机和机器狗好多了!!!还记得小浩吗????若进程被结束,自身文
件,都被替换成了小浩了!!!何况,自我保护变强,也没见得如何不稳定呀!!!!况且卡巴斯基和江
民都是用户量极大的软件!!!稳定性在设计时已考虑到了!!!我们还没有试试,就说不稳定,还是试
试吧!!!望版主能将我的建议上报有关部门。。。谢谢啦!!!
1.1.运行冰刃,选中功能中的进程,选中瑞星2009的相关进程(rstray;rsagent;ravmond),右击选择结束,进程被成功结束!!!(若进程未一次结束成功,多试几次就成功了!!!)
2.选中功能菜单中的ssdt,选中第一项,然后按住shift键不放开,选中最后一项。(目的是选中所有的函数),在所有函数都被选中的情况下,右击选择恢复!此时你用任务管理器能结束瑞星的相关进程!!
在这里需要说明一点:用冰刃恢复瑞星所有ssdt中挂接的函数后,用任务管理器能结束瑞星的相关进程。。。而用狙剑的ssdt恢复了瑞星所挂钩的函数,然后用任务管理器结束瑞星的进程,却失败了!!!请测试!!!
3.用冰刃的文件管理-----即点击一下文件,在其中选中瑞星的文件,右键点击删除。操作成功!!!!用狙剑进行相关操作却失败,请测试并改进!!
4.选中瑞星的进程,右击选择线程信息!!!选中线程,点击强制结束!!!最后只剩下线程优先级为16的线程!!!
4.选中瑞星的进程,右击选择模块信息!!!选中模块,点选强制删除,操作成功!!!
望版主能重视这个问题,将建议提供给测试工程师!!!进而改进瑞星!!!谢谢!!!
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; TheWorld)
!有网友竟然说:“你加载驱动了吗?若加载,就不该2009的事!!!你这种
测试没有多大意义,拿IceSword、SnipeSword等工作于ring0层的反Rootkit工具来测式杀软的自我保护本
身就是很可笑的做法,为什么这么说呢?因为你运行SnipeSword时是抱着完全信任SnipeSword的心态来运
行的,你让SnipeSword拥有了系统的核心权限,它当然能逮谁灭谁喽,如果SnipeSword是个病毒你还能让
它这么轻易拿到核心权限吗?显然不会,如果SnipeSword真是个病毒的话,瑞星要限制它其实是非常容易的
,只要开启瑞星的驱动加载防御阻止SnipeSword加载驱动就能废了SnipeSword。 ”--------而现实中并不
是这样的!!!同样是在加载驱动的情形下,冰刃和狙剑为何不能结束卡巴斯基2009和江民2009的进程!
!!为何能结束结束瑞星的进程!!!既然瑞星如此怕加载驱动,为何不让它的驱动强着点呢!!!下面是版
主的回复:“
这个问题完全是因为瑞星工程师们开发这软件,过于谨慎。不想做的那么狠的驱动。
因为做到那么狠的驱动,在后期的几千万用户的使用中其不稳定性,会导致瑞星软件使用量下降的。
也许你们会说卡巴和江民的为什么稳定。那只是你们在一个小范围内看到其稳定性。在更大的范围内,因为驱动部分的不兼容性导致的问题,会比较多的。 ”-----------对于我们来说,超
强的自我保护---不稳定,可比磁碟机和机器狗好多了!!!还记得小浩吗????若进程被结束,自身文
件,都被替换成了小浩了!!!何况,自我保护变强,也没见得如何不稳定呀!!!!况且卡巴斯基和江
民都是用户量极大的软件!!!稳定性在设计时已考虑到了!!!我们还没有试试,就说不稳定,还是试
试吧!!!望版主能将我的建议上报有关部门。。。谢谢啦!!!
1.1.运行冰刃,选中功能中的进程,选中瑞星2009的相关进程(rstray;rsagent;ravmond),右击选择结束,进程被成功结束!!!(若进程未一次结束成功,多试几次就成功了!!!)
2.选中功能菜单中的ssdt,选中第一项,然后按住shift键不放开,选中最后一项。(目的是选中所有的函数),在所有函数都被选中的情况下,右击选择恢复!此时你用任务管理器能结束瑞星的相关进程!!
在这里需要说明一点:用冰刃恢复瑞星所有ssdt中挂接的函数后,用任务管理器能结束瑞星的相关进程。。。而用狙剑的ssdt恢复了瑞星所挂钩的函数,然后用任务管理器结束瑞星的进程,却失败了!!!请测试!!!
3.用冰刃的文件管理-----即点击一下文件,在其中选中瑞星的文件,右键点击删除。操作成功!!!!用狙剑进行相关操作却失败,请测试并改进!!
4.选中瑞星的进程,右击选择线程信息!!!选中线程,点击强制结束!!!最后只剩下线程优先级为16的线程!!!
4.选中瑞星的进程,右击选择模块信息!!!选中模块,点选强制删除,操作成功!!!
望版主能重视这个问题,将建议提供给测试工程师!!!进而改进瑞星!!!谢谢!!!
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; TheWorld)