shulun743 - 2013-6-15 16:46:00
系统:windows xp-sp3
浏览器:ie8 猎豹
操作:使用狙剑 反注册瑞星模块成功
结果:成功反注册瑞星相关文件
24.00.10.18
1、使用下述ark软件,对付瑞星 ,瑞星成功防御了内存清零和卸载模块
但是对反注册瑞星相关文件,瑞星防御失败!!!
2、卡巴 江民 xxx 等杀软 都使用了inline hook KeInsertQueueApc函数,为何瑞星不挂接这个函数,保护自身线程不被结束呢???
3、为何瑞星不挂接PsLookupThreadByThreadId,保护自身线程不被打开呢???
4、其实个人私下认为只要inline hook PspExitThread,保护自身线程不被结束 就足够了,当然了若PsLookupThreadByThreadId保护自身线程不被打开,以及KeInsertQueueApc保护进程被插apc干掉 ,最好!!!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; LBBROWSER)
附件: SnipeSword.rar
浏览器:ie8 猎豹
操作:使用狙剑 反注册瑞星模块成功
结果:成功反注册瑞星相关文件
24.00.10.18
1、使用下述ark软件,对付瑞星 ,瑞星成功防御了内存清零和卸载模块
但是对反注册瑞星相关文件,瑞星防御失败!!!
2、卡巴 江民 xxx 等杀软 都使用了inline hook KeInsertQueueApc函数,为何瑞星不挂接这个函数,保护自身线程不被结束呢???
3、为何瑞星不挂接PsLookupThreadByThreadId,保护自身线程不被打开呢???
4、其实个人私下认为只要inline hook PspExitThread,保护自身线程不被结束 就足够了,当然了若PsLookupThreadByThreadId保护自身线程不被打开,以及KeInsertQueueApc保护进程被插apc干掉 ,最好!!!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; LBBROWSER)
附件: SnipeSword.rar