12   1  /  2  页   跳转

hook ZwOpenProcess导致 自保和主防挂了

收藏
本主题由 在线技术支持工程师 瑞星工程师12 于 2012-5-22 13:38:23 执行 合并主题 操作
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2012-05-21 15:26 | 只看楼主 短消息 资料
字号: 1楼

hook ZwOpenProcess导致 自保和主防挂了

HOOK---------ZwOpenProcess 主防挂了。。。


建议 瑞星增强自保  和主防

用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.12 (KHTML, like Gecko) Maxthon/3.3.8.1000 Chrome/18.0.966.0 Safari/535.12
分享到:
gototop
 
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2012-05-21 15:26 | 只看楼主 短消息 资料
字号: 2楼

回复:hook ZwOpenProcess导致 自保和主防挂了

HOOK-------ZwOpenProcess(^.^,相信很多初学驱动保护的童鞋都知道它吧),HOOK后,居然发现瑞星的托盘图标由绿伞变红伞了。。。打开一看,主防挂了。。。
gototop
 
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2012-05-21 15:31 | 只看楼主 短消息 资料
字号: 3楼

建议所有进程注入dll 增强自保

发现xxx 向每个 进程注入了 dll  用于保护自己进程不被结束

建议瑞星也这样做

这样比卡巴的 双进程防护 要好得多啊

也比 类似 nod32的 零秒 启动服务 也要抢啊

只做 一个dll  在,他只做 一件事 就是守护进程 ,这样降低兼容性 增强稳定性

用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.12 (KHTML, like Gecko) Maxthon/3.3.8.1000 Chrome/18.0.966.0 Safari/535.12
gototop
 
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2012-05-21 15:38 | 只看楼主 短消息 资料
字号: 4楼

对于进程守护的病毒,查杀思路

因为有 进程守护 或 驱动保护

瑞星很难 对这些病毒 进行灭杀

只靠 重启杀毒

建议 采用驱动对抗(ark),直接废掉病毒进程 ,然后采用 强制删除技术(ark)

杀掉 病毒文件

用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.12 (KHTML, like Gecko) Maxthon/3.3.8.1000 Chrome/18.0.966.0 Safari/535.12
gototop
 
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2012-05-21 15:44 | 只看楼主 短消息 资料
字号: 5楼

回复:建议所有进程注入dll 增强自保

我的意思就是 ,瑞星 一个dll 注入所有进程 ,这样即使病毒拍摊了瑞星进程

因为每个进程中都有 瑞星dll ,此dll立即 锁定系统 ------重建安全环境 并向用户报警

并启动瑞星进程 !!!

此类技术 简单 比卡巴的双进程 守护 要强 ,你想啊  卡巴 一个进程看着,另一个进程干活
若一个进程被拍死了 ,另一个立即重启进程 !!!

nod 的特点就是 若 进程被 结束了 ,其会 立即 重建进程 ,研究发现 nod的进程设置中(服务设置)是0秒重建进程!!!

因此我认为 微--点  的 dll 注入所有进程这样的守护技术 要比卡巴和nod 要强一点

你说呢
gototop
 
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2012-05-21 15:46 | 只看楼主 短消息 资料
字号: 6楼

回复:hook ZwOpenProcess导致 自保和主防挂了

就是 瑞星 inline  hook ZwOpenProcess  、 挂接apc 、等等 增强自保

防止 因 其它软件或病毒 hook 相关函数 ,而失效
gototop
 
瑞星工程师12
头像
在线技术支持工程师
  • 帖子:21624
  • 注册: 2008-09-08
  • 来自:RISING
发表于: 2012-05-21 15:47 | 短消息 资料
字号: 7楼

回复 2F shulun743 的帖子

如果方便,请您提供样本、瑞星软件类型、以及程序版本号。
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2012-05-21 16:06 | 只看楼主 短消息 资料
字号: 8楼

回复:对于进程守护的病毒,查杀思路

就是说 有些 病毒 采用了伴生 进程 或 驱动的 方式 ,防止自身被杀软 拍掉

若杀软 技术不是 很 牛叉  或  才去很稳妥或保守的方式 处理此类问题

就是 重启后 删除 !!!

而我们 经常使用ark 软件 如:冰刃  或 xuetr  等软件 结束 程序 和删除 文件 (强制删除)

为何杀软不能采用类似的技术 解决这些顽固病毒呢???

完全可以采用驱动对抗的形式 ,干掉 病毒的进程和文件

被必要 非要等到重启 ,才干掉病毒啊
gototop
 
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2012-05-22 10:58 | 只看楼主 短消息 资料
字号: 9楼

回复:对于进程守护的病毒,查杀思路

我就是说 瑞星现有的保护策略  ,若ravmond进程被结束,立马重建 是通过设置服务实现的

这种方式 不如 微  点  的    在每个进程中 注入 dll  来的实在----------我指的是进程保护监控 dll

这个dll  只做一件事 就是 在系统异常时创建安全环境 ,保护进程不被结束

若被结束 立即重建

我没有样本 提供
gototop
 
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2012-05-22 11:09 | 只看楼主 短消息 资料
字号: 10楼

回复:建议所有进程注入dll 增强自保

对于挂接函数方面:

NtOpenProcess    inline 此函数  防止打开瑞星 进程

NtTerminateProcess  inline  此函数  防止瑞星进程被结束

KeInitializeApc    /  KeInsertQueueApc  inline  防插apc

nt!PsGetNextProcessThread (8057b3b9)          遍历线程中的进程

PspTerminateProcess        最终线程是通过被插入的APC调用PspExitThread而自杀的

ObOpenObjectByPointer        则是为了防止其他进程打开

nt!PsLookupProcessByProcessId (80573e8d) 根据输入的 PID 查询进程内核对象体的指针

nt!ObOpenObjectByPointer (8056cbc2)    通过对象指针(PEPROCESS)得到句柄。

ObOpenObjectByPointer  进程句柄  ;      PspExitThread挂接  防止线程自杀

ZwQueryVirtualMemory    来枚举进程模块

使用ZwQuerySystemInformation的SystemHandleInformation号调用得到系统中的所有句柄

通过ZwQueryInformationProcess来查询句柄对应的进程Id



请完善 上述 挂钩 ,防止瑞星进程被结束!!!


卡巴  江民 xxx 都是 挂接着 这些函数  为何瑞星那个不挂接 这些函数呢
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT