回复:对于瑞星自保的建议!
建议 瑞星进程 保护 能在ssdt的基础上,前进一步 使用inline hook来加强保护!!!
1、采用inlink hook 保护自身的进程,对抗CreateRemoteThread的Dll注入。使用inlink hook 技术 阻止 自身线程 被终结!!!inlink hook ntclose函数 保护瑞星进程不被结束!!!在ring3下Dll注入的标准做法是使用CreateRemoteThread控制目标进程调用Loadlibrary加载,针对这一做法,可以按如下的步骤进行自身保护:
1)在自身初始化完毕后,挂钩自身的LoadLibraryExW,并在主线程中获取当前线程ID。
2)在挂钩函数中判断当前线程ID是否和主线程ID相等,如不相等则可能是来自外部的DLL注入,进行拒绝或通知用户处理。
3)对于自身所需要的LoadLibrary行为,可以在主线程中进行,或调用原始的LoadLibraryExW。
2、采用多进程保护进程
它是指一个或多个程序运行多遍,只有一个进程处于工作状态,其余进程的目的是为了保护这个进程。一旦其中一个进程被杀或失效,其他的进程将会创建出另外进程来填补。
应用多进程来实现进程的保护中,可以综合运用多种保护的方法来实现对进程的保护。双进程保护基本的做法如下:
1)若A为要保护的进程,在创建A进程的同时,同是创建副进程B。B的作用主要是用来监视A进程的状态
2)若A进程被结束,B进程根据记录A进程的状态重新创建A进程
3)若B进程被结束,A进程也会自动去创建B进程
3、建议瑞星 能做到 应用层 拒绝访问!!!现在 卡巴斯基 和x等 都采用了这种方式保护自身进程!!!
4、建议瑞星能枚举 ----阻止 枚举 自身进程!!!
5、建议瑞星能 做到驱动变形! 驱动能做到 重启后自动重命名!!!若恶意软件放出驱动和瑞星对抗时 ,就失去对象了!!!
6、在 PsActviePoroessList链表上删除瑞星进程对象,将瑞星进程将被隐藏起来,阻止病毒枚举瑞星的进程!!!将ravmond进程隐藏,并将ravmond 创建为双进程,一个进程隐藏,一个进程正常显示,来迷惑病毒,这样病毒就会攻击假体,真正的ravmond 进程由于隐藏了 也就躲过了威胁@@@
可牛 就是 采用了双进程 ,一个进程 隐藏 ,一个正常显示@@@
7、建议瑞星 ravmond 进程和rstray 进程 互相监视,这样 一个进程出现问题 ,另一个可以马上启动之!!!经常ravmond进程被结束,还可以自动运行,但小绿伞 被结束了,却不能自动启动!!!
