shulun743 - 2015-3-14 21:33:00
系统:windows 7 32
浏览器:系统自带的ie
操作:测试
结果:瑞星的自保 还是 存在很多 弱点啊
1、最大的问题就是 瑞星虽然挂钩了 ssdt, 但是 这种挂钩对 内核函数间的调用 无效(ring0),也是 自保存在弱点的首要原因。
2、次要原因 就是瑞星无法发现 自身的钩子被恢复, 并且也不能 自动 恢复被摘掉的钩子。而这样的技术 江民好几年前就存在了!!!
3、测试过程居然一次也没有触发瑞星的自保报警 ,希望完善!!!
详细的测试过程如下:
附件: 您所在的用户组无法下载或查看附件
a、操作瑞星进程
使用此软件能结束瑞星的进程,并没有触发自保提示!!!建议瑞星拦截内核间的函数调用!!!
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
b、操作瑞星的模块,瑞星没有提示,测试的软件没有提示卸载成功,但托盘中小绿伞消失了!!!
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
c、操作窗体,进行消息洪水攻击,瑞星不提示,但进程完了!!!
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
d、操作瑞星的 权限,瑞星的权限被恢复了,瑞星不提示!!!
附件: 您所在的用户组无法下载或查看附件
附件: 您所在的用户组无法下载或查看附件
e、操作瑞星的钩子,瑞星钩子被恢复,瑞星没有发现,所有不能自动挂钩,也没有提示,很安静!!!乖孩子!!!
附件: 您所在的用户组无法下载或查看附件
f、瑞星还是扛不住 内存清零攻击啊
建议瑞星增强自保,希望能做到 内核间的函数监控,并能自动恢复被摘掉的钩子,保护自身模块不被卸载,拦截洪水攻击,抵御 内存清零攻击!!!
希望瑞星能抵抗 重启删除 自身的 文件
用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 UBrowser/4.0.4368.0 Safari/537.36
附件: IceLight.zip
浏览器:系统自带的ie
操作:测试
结果:瑞星的自保 还是 存在很多 弱点啊
1、最大的问题就是 瑞星虽然挂钩了 ssdt, 但是 这种挂钩对 内核函数间的调用 无效(ring0),也是 自保存在弱点的首要原因。
2、次要原因 就是瑞星无法发现 自身的钩子被恢复, 并且也不能 自动 恢复被摘掉的钩子。而这样的技术 江民好几年前就存在了!!!
3、测试过程居然一次也没有触发瑞星的自保报警 ,希望完善!!!
详细的测试过程如下:
附件: 您所在的用户组无法下载或查看附件a、操作瑞星进程
使用此软件能结束瑞星的进程,并没有触发自保提示!!!建议瑞星拦截内核间的函数调用!!!
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件b、操作瑞星的模块,瑞星没有提示,测试的软件没有提示卸载成功,但托盘中小绿伞消失了!!!
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件c、操作窗体,进行消息洪水攻击,瑞星不提示,但进程完了!!!
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件d、操作瑞星的 权限,瑞星的权限被恢复了,瑞星不提示!!!
附件: 您所在的用户组无法下载或查看附件 附件: 您所在的用户组无法下载或查看附件e、操作瑞星的钩子,瑞星钩子被恢复,瑞星没有发现,所有不能自动挂钩,也没有提示,很安静!!!乖孩子!!!
附件: 您所在的用户组无法下载或查看附件f、瑞星还是扛不住 内存清零攻击啊
建议瑞星增强自保,希望能做到 内核间的函数监控,并能自动恢复被摘掉的钩子,保护自身模块不被卸载,拦截洪水攻击,抵御 内存清零攻击!!!
希望瑞星能抵抗 重启删除 自身的 文件
用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 UBrowser/4.0.4368.0 Safari/537.36
附件: IceLight.zip