狙剑的自保原理 ---希望能对瑞星自保有所帮助!
在作毕业设计之余实在无聊,就在电脑中随手点开狙剑,来回倒腾着,突然对狙剑的进程保护产生了兴趣,就用
icesword以及电脑中所收集的其它ARK工具在虚拟机中来对狙剑的进程保护测试,发现用icesword也不能结束它,其它的ARK工具,很多在结束它时反而让它给结束了。于是就决定对它的进程保护深入研究下。
首先看看它都挂了进程相关的哪些函数,用Rootkit Unhooker v3.7
的Code Hooks选项来查看系统中被hook的函数的情况,发现内核函数 PsLookupThreadByThreadId 和 KeInsertQueueApc 被inline hook到SnipeSword.sys模块中。在pjf大牛的<终止进程的内幕.>一文中,我们知道线程的终止其实就是线程的“自杀”,系统通过KeInitializeApc/KeInsertQueueApc把一个
APC插入核心态或者用户态中,使线程在运行中自己调用PspExitThread自行了断,因此
snipesword的进程防杀还是很底层的,难怪那么多工具结束不了它。
详细的文章 放在附件中了 ,因为 字数太大,已粘贴在 这里 就假死----浏览器
请改进!!!
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
