对进程的控制!瑞星的主防
没有控制以下操作:
访问其他进程数据 -
修改其他进程的内存及内存属性,或者在进程间复制句柄。操作其他进程及线程 -
创建远线程,结束、挂起或修改其他进程的线程,结束或挂起其他进程,或者调试其他进程。进程间消息操作 -
向其他进程发送消息,或者从其它进程接收消息(如:病毒虚拟发送消息关闭瑞星)。底层键盘操作 -
直接读取键盘状态,或者模拟键盘输入。特殊方式写注册表 -
使用注册表配置单元文件替换注册表项,重命名注册表项,或者创建注册表链接。创建远程线程(
拦截注入)
加载dll文件
远程调用com对象安装键盘钩子(
卡巴有此功能)
模拟键盘鼠标操作(如:
磁碟机)
系统设备控制(
卡巴有此功能)
注册表转储(
hiv)
访问服务管理器 d:对注册表的保护!!! 一般的木马运行添加自启动就会被杀毒软件的主动防御拦截,前几天发现了几个注册表自启动的方法,效果还不错,也算是目前主动防御的一大死角了,我测试了--------瑞星一个都未拦截.
1.cmd运行前执行的程序(被动启动) HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun REG_SZ "xxx.exe"
2.session manager(自启动) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute REG_MULIT_SZ "autocheck autochk * xxx"
瑞星就来了一个bsmain,用来开机查毒
不过xxx.exe必须用Native API,不能用Win32API
3.屏幕保护程序(被动启动) HKEY_USERS\.DEFAULT\Control Panel\Desktop
SCRNSAVE.EXE REG_SZ "xxx.scr"
其实屏幕保护程序scr文件就是PE文件
4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Run
"MSCONFIG"="%SystemRoot%\\xxx.exe"
另外,还有一个偷换控制面板文件来被动启动的方式,控制面板文件在C:\windows\system32\下
的.cpl文件,这个文件类似与dll文件.方法给大家了,至于怎么利用,大家就各显神通吧!
以上键值------------经我测试,瑞星一个未拦!!!
5. 现在很多安软采用了
隐藏进程等技术保护自身不被恶软发现(如:x;江民;卡巴;魔法盾等)
其中Malware Defender的驱动可以在
重启中,自动
变形!!!(
重命名驱动)
希望瑞星在重启的过程中,驱动和进程能自动变形,能隐藏自身进程,并且卡卡助手的进程管理使用驱动,否则如何查看隐藏进程呀???
在装有卡巴、x或江民的机器上安装卡卡助手,卡卡却看不到上述软件的进程,不是很郁闷吗?上述软件看不到还好说,要是恶软呢?
希望瑞星能周期性自动挂钩hook!!!感觉瑞星的云安全应用还有提高的余地!!!
金山网标可以依据“可信认证”-----自动放行安全的连接!!!这一点很智能,而瑞星只能放行带有签名的进程,建议瑞星检测进程的安全性,通过云安全自动放行!!!用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)
