编了一个保护杀毒软件的程序

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛编了一个保护杀毒软件的程序

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 234 5 6

3 / 6 页

跳转页

196TSV 初生襁褓狮帖子:524 注册: 2005-07-13 来自:	发表于： 2007-02-28 17:32 \| 短消息资料字号：小中大 21楼能否升级一下，开机自动启动，期待…………另外这种好帖，斑竹怎么不关注一下呢？
196TSV 初生襁褓狮帖子:524 注册: 2005-07-13 来自:

zjjmj2002 初生襁褓狮帖子:87 注册: 2007-01-31 来自:	发表于： 2007-02-28 17:54 \| 只看楼主短消息资料字号：小中大 22楼退出后就不能保护了，要自动启动你放到启动组里不就可以了么？俺总觉得改注册表不绿色呀，呵呵！
zjjmj2002 初生襁褓狮帖子:87 注册: 2007-01-31 来自:

hongmeisu 初生襁褓狮帖子:4 注册: 2007-02-28 来自:	发表于： 2007-02-28 18:21 \| 短消息资料字号：小中大 23楼可以只防止exe和dll的改写,平时这类文件只是在安装软件或升级时才会写入，做两个选项能禁止和打开，不用都弹出窗口，有个Winpooch可以办到，可能功能多复杂了，不稳定，你可以写的比它简单点，呵呵
hongmeisu 初生襁褓狮帖子:4 注册: 2007-02-28 来自:

特邀体验者

帖子:2592
注册: 2006-11-26
来自:火星

发表于： 2007-02-28 18:25 | 短消息资料

字号：小中大 24楼

引用:

【hongmeisu的贴子】搂主厉害，要能改进一下，多HOOK几个函数防止病毒修改注册表修改和改写exe\dll文件就更完美了，没有杀毒也不怕熊猫
………………

所有计算机文件都用不了了

很多文件都要执行这个操作

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2007-02-28 18:28 \| 短消息资料字号：小中大 25楼这种方法不太管用的.恶意程序可以直接调用 ntdll.dll转ntoskrnl中的NtTerminateProcess或者PspTerminateProcess,最简单的.来一个QueueUserAPC就可以结束杀毒软件您采用的User Level由于要反复挂钩和解钩.好像会导致线程同步问题其实偶写的KsIceProcess也可以实现这个功能(签名里有下载，不过用的是修改导入表).不过Ring3的HookAPI总是不尽如人意.因而只能唬弄简单的木马.唉,偶还得努力啊.
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2007-02-28 18:29 \| 短消息资料字号：小中大 26楼或者一个命令行:ntsd.exe -c q -p就可以结束问题是太部分杀毒软件都有保护不被TerminateProcess终止的功能。依然被终止
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

特邀体验者

帖子:5462
注册: 2005-01-12
来自:0GiNr

发表于： 2007-02-28 18:37 | 短消息资料

字号：小中大 27楼

引用:

【zjjmj2002的贴子】SSM是System Safety Monitor吧？

还可以，不过Hook了太多的Api，实在是很拖速度呀！

俺其实很少用杀毒软件，有Ghost这样的好东西不就够了么，呵呵。
………………

SSM不是HookApi,而是Hook SSDT,SSDT是系统服务派遣表,所有API的最终调用都是这里.

熊猫烧香可以让你觉得Ghost也有致命弱点的

特邀体验者

帖子:5462
注册: 2005-01-12
来自:0GiNr

发表于： 2007-02-28 18:43 | 短消息资料

字号：小中大 28楼

引用:

【zjjmj2002的贴子】俺倒认为远程注入CreateRemoteThread()函数除了病毒、木马会用一下，别的程序似乎都没有用过，真不知道是拿来做什么的？
………………

那可不一定.比如有的安全软件要卸除系统进程中的恶意DLL,大部分要用到

VirtualAllocEx()申请内存空间.

WriteProcessMemory()写内存空间.

用CreateRemoteThread(),FreeLibrary作为线程函数,卸除DLL.

IceSword 对于进程中的DLL,"卸除"就是差不多利用这个原理的．（当前也可能是ＡＰＣ，＂强制卸除＂是另一种卸除方法）

zjjmj2002 初生襁褓狮帖子:87 注册: 2007-01-31 来自:	发表于： 2007-02-28 19:57 \| 只看楼主短消息资料字号：小中大 29楼熊猫烧香会删除*.gho文件嘛，不过俺早就改了名了，呵呵。而且那种把文件名第一个字节改为E5的简单删除方法对于俺来说根没有删除完全一样！
zjjmj2002 初生襁褓狮帖子:87 注册: 2007-01-31 来自:

zjjmj2002 初生襁褓狮帖子:87 注册: 2007-01-31 来自:	发表于： 2007-02-28 20:02 \| 只看楼主短消息资料字号：小中大 30楼修改导入表HookApi的办法Jeffrey Richter在《Windows核心编程》中曾提到过，但感觉容易出错代码量也很大，俺很少使用！
zjjmj2002 初生襁褓狮帖子:87 注册: 2007-01-31 来自:

<<上一主题|下一主题>>

1 234 5 6

3 / 6 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 编了一个保护杀毒软件的程序

编了一个保护杀毒软件的程序

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛编了一个保护杀毒软件的程序