1   1  /  1  页   跳转

[意见建议] 干掉瑞星的新方法

干掉瑞星的新方法

为了演示方便,没有使用真正的病毒样本,而使用的是SuperScan软件,这是一款黑客工具,瑞星会报警。

实现方法:HIVE方式写注册表,绕过瑞星监控创建启动项,并破坏瑞星程序。



瑞星版本:2008年9月20日最新版本
2009测试完毕,一共就拦截到一个操作:关闭计算机,其他操作一个也没拦截到,病毒照常运行,瑞星照常被破坏,而且还显示绿伞,汗一个!




http://baike.360.cn/3233995/11817629.html此帖详细的叙述了测试过程!!!
请工程师百忙之中分析一下哦!!!!!
超级扫描器工具是我从网上找的,不是上述网址中所描述的工具!!!!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; WPS; baiduds; InfoPath.1; .NET CLR 2.0.50727)

附件附件:

下载次数:272
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-23 20:49:14
描述:rar

分享到:
gototop
 

回复: 干掉瑞星的新方法

注册表监控利用Hook注册表操作用的API函数实现的,有可能被hive  方式写注册表绕过。
建议可以利用注册表快照的对比外加hook  api来共同防御病毒绕过注册表监控。


这个技术的优点是不会被没有书面化的注册表操作函数以及HIVE方式写注册表等方法绕过。

缺点是不是实时的,与操作时间有一定的延迟,
而且一旦病毒写入注册表以后,直接调用NtShuodownSystem函数关机,将无法准确监控到注册表写入。

最大的缺陷是,快照需要保存到文件上,这个文件需要着重保护,若忽视了这一点。。。。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT