瑞星卡卡安全论坛

首页 » 企业产品讨论区 » 2012版瑞星杀毒软件公测专区 » hook ZwOpenProcess导致 自保和主防挂了
shulun743 - 2012-5-21 15:26:00
HOOK---------ZwOpenProcess 主防挂了。。。


建议 瑞星增强自保  和主防

用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.12 (KHTML, like Gecko) Maxthon/3.3.8.1000 Chrome/18.0.966.0 Safari/535.12
shulun743 - 2012-5-21 15:26:00
HOOK-------ZwOpenProcess(^.^,相信很多初学驱动保护的童鞋都知道它吧),HOOK后,居然发现瑞星的托盘图标由绿伞变红伞了。。。打开一看,主防挂了。。。
shulun743 - 2012-5-21 15:31:00
发现xxx 向每个 进程注入了 dll  用于保护自己进程不被结束

建议瑞星也这样做

这样比卡巴的 双进程防护 要好得多啊

也比 类似 nod32的 零秒 启动服务 也要抢啊

只做 一个dll  在,他只做 一件事 就是守护进程 ,这样降低兼容性 增强稳定性

用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.12 (KHTML, like Gecko) Maxthon/3.3.8.1000 Chrome/18.0.966.0 Safari/535.12
shulun743 - 2012-5-21 15:38:00
因为有 进程守护 或 驱动保护

瑞星很难 对这些病毒 进行灭杀

只靠 重启杀毒

建议 采用驱动对抗(ark),直接废掉病毒进程 ,然后采用 强制删除技术(ark)

杀掉 病毒文件

用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.12 (KHTML, like Gecko) Maxthon/3.3.8.1000 Chrome/18.0.966.0 Safari/535.12
shulun743 - 2012-5-21 15:44:00
我的意思就是 ,瑞星 一个dll 注入所有进程 ,这样即使病毒拍摊了瑞星进程

因为每个进程中都有 瑞星dll ,此dll立即 锁定系统 ------重建安全环境 并向用户报警

并启动瑞星进程 !!!

此类技术 简单 比卡巴的双进程 守护 要强 ,你想啊  卡巴 一个进程看着,另一个进程干活
若一个进程被拍死了 ,另一个立即重启进程 !!!

nod 的特点就是 若 进程被 结束了 ,其会 立即 重建进程 ,研究发现 nod的进程设置中(服务设置)是0秒重建进程!!!

因此我认为 微--点  的 dll 注入所有进程这样的守护技术 要比卡巴和nod 要强一点

你说呢
shulun743 - 2012-5-21 15:46:00
就是 瑞星 inline  hook ZwOpenProcess  、 挂接apc 、等等 增强自保

防止 因 其它软件或病毒 hook 相关函数 ,而失效
瑞星工程师12 - 2012-5-21 15:47:00
如果方便,请您提供样本、瑞星软件类型、以及程序版本号。
shulun743 - 2012-5-21 16:06:00
就是说 有些 病毒 采用了伴生 进程 或 驱动的 方式 ,防止自身被杀软 拍掉

若杀软 技术不是 很 牛叉  或  才去很稳妥或保守的方式 处理此类问题

就是 重启后 删除 !!!

而我们 经常使用ark 软件 如:冰刃  或 xuetr  等软件 结束 程序 和删除 文件 (强制删除)

为何杀软不能采用类似的技术 解决这些顽固病毒呢???

完全可以采用驱动对抗的形式 ,干掉 病毒的进程和文件

被必要 非要等到重启 ,才干掉病毒啊
shulun743 - 2012-5-22 10:58:00
我就是说 瑞星现有的保护策略  ,若ravmond进程被结束,立马重建 是通过设置服务实现的

这种方式 不如 微  点  的    在每个进程中 注入 dll  来的实在----------我指的是进程保护监控 dll

这个dll  只做一件事 就是 在系统异常时创建安全环境 ,保护进程不被结束

若被结束 立即重建

我没有样本 提供
shulun743 - 2012-5-22 11:09:00
对于挂接函数方面:

NtOpenProcess    inline 此函数  防止打开瑞星 进程

NtTerminateProcess  inline  此函数  防止瑞星进程被结束

KeInitializeApc    /  KeInsertQueueApc  inline  防插apc

nt!PsGetNextProcessThread (8057b3b9)          遍历线程中的进程

PspTerminateProcess        最终线程是通过被插入的APC调用PspExitThread而自杀的

ObOpenObjectByPointer        则是为了防止其他进程打开

nt!PsLookupProcessByProcessId (80573e8d) 根据输入的 PID 查询进程内核对象体的指针

nt!ObOpenObjectByPointer (8056cbc2)    通过对象指针(PEPROCESS)得到句柄。

ObOpenObjectByPointer  进程句柄  ;      PspExitThread挂接  防止线程自杀

ZwQueryVirtualMemory    来枚举进程模块

使用ZwQuerySystemInformation的SystemHandleInformation号调用得到系统中的所有句柄

通过ZwQueryInformationProcess来查询句柄对应的进程Id



请完善 上述 挂钩 ,防止瑞星进程被结束!!!


卡巴  江民 xxx 都是 挂接着 这些函数  为何瑞星那个不挂接 这些函数呢
shulun743 - 2012-5-22 11:11:00
说白了 就是希望瑞信能 通过 强制结束病毒进程  、强制删除 病毒文件

来杀毒 ,就像 冰刃的 杀进程  和 强制删除一样的

我没有样本提供啊

就是希望瑞星能  强势这点
瑞星工程师12 - 2012-5-22 13:48:00
建议已收集反馈。感谢您参与公测活动!
1
查看完整版本: hook ZwOpenProcess导致 自保和主防挂了
© 2000 - 2026 Rising Corp. Ltd.