1   1  /  1  页   跳转

[疑似bug] 瑞星模块被反注册成功

瑞星模块被反注册成功

系统:windows xp-sp3

浏览器:ie8  猎豹

操作:使用狙剑 反注册瑞星模块成功

结果:成功反注册瑞星相关文件



24.00.10.18


        1、使用下述ark软件,对付瑞星 ,瑞星成功防御内存清零卸载模块

                但是对反注册瑞星相关文件,瑞星防御失败!!!

      2、卡巴 江民  xxx 等杀软 都使用了inline hook  KeInsertQueueApc函数,为何瑞星不挂接这个函数,保护自身线程不被结束呢???

 
          3、为何瑞星不挂接PsLookupThreadByThreadId,保护自身线程不被打开呢???


        4、其实个人私下认为只要inline  hook  PspExitThread,保护自身线程不被结束 就足够了,当然了若PsLookupThreadByThreadId保护自身线程不被打开,以及KeInsertQueueApc保护进程被插apc干掉 ,最好!!!







用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; LBBROWSER)

附件附件:

文件名:SnipeSword.rar
下载次数:170
文件类型:application/octet-stream
文件大小:
上传时间:2013-6-15 16:46:59
描述:rar

分享到:
gototop
 

回复:瑞星模块被反注册成功

个人考虑 既然瑞星已经能保护自身模块不被卸载

并且也能抗击 自身内存清零

那么请 完善保护 ,防止自身文件被反注册吧???


gototop
 

回复:瑞星模块被反注册成功

驱动之间的对抗没意思,再说x64下呢,x64才是主流,xp32我已经很久没有见过了
gototop
 

回复:瑞星模块被反注册成功

工程师不敢写吧。因为教科书上的代码不会考虑复杂情况下特殊情况,他们就
gototop
 

回复:瑞星模块被反注册成功

瑞星的兼容性确实“相当优秀”,不然这次蓝屏门就有瑞星了。内涵不解释
gototop
 

回复:瑞星模块被反注册成功

此问题已收集。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT