许多致命危险BUG(均为ring3层),足矣破主防。。技术工程师来看看!
说实在这个版本的瑞星,我感觉没了文件监控,别的都没啥用了。。如果病毒免杀了呢?完蛋!(个人看法,勿喷)
再次使用瑞星经历(想看漏洞的,没时间的,请无视此段话):
本来呢,之前一直用瑞星的,后来喜欢不装杀软了,于是,一直裸奔的机子,自我感觉良好。。但是,昨天不知道咋的中了lpk.dll毒,像平时一样,杀半天没杀一点点,又卡,Xuetr又没发现啥可疑的进程,驱动。。我就感觉应该压制住病毒了,剩下是清理lpk.dll,然后我百度发现瑞星lpk专杀,就下来看看,清理得很快。。于是这时我就想到了安装瑞星。。接下来就装了个瑞星2012试试,变化跟之前真大,使用过程中发现之前很多监控项目都没有了,于是有点担心会不会被病毒担心。。然后,打算进行一次大检查,顺便报告给工程师。。
检查报告:
①致命BUG(利用瑞星的BUG进入Ring0级/加载驱动):
方法1:获取小绿伞的位置,使用mouse_event()函数右键小绿伞,等待1毫秒,点击禁用监控,加载驱动,启动驱动,右键小绿伞,启动监控。。短短几毫秒,小绿伞旁边有些小白框若隐若现,嗯。。小绿伞还开着,应该没事。。其实已经加载驱动了!!加载了驱动,跟瑞星对抗还不简单?
方法2:跟方法1一样,不过不启动了,右键小绿伞,退出,加载驱动。。
方法3:将驱动文件免杀后,加载驱动。。
方法4、5、6、7。。:慢慢琢磨,很多
②使用模拟鼠标,使瑞星无法让用户选择:
方法1:使用时钟,定时把整个屏幕的图片截下来,取出左下角的xx,yy到xx,yy位置出来,看看是不是等于(瑞星框的清除按钮的一半的图片),其实就是很简单的判断特征。。可以用其他方法判断(我还有2个方法,待会说到),总之发现瑞星的框出来的时候使用mouse_event()来点允许。。那如果设置了给用户选择,那就是杯具。。或许你会说,把整个屏幕截下来,然后取xxyy位置的图片出来,这样不是很占用CPU?看方法2。。
方法2:使用时钟,定时枚举窗口,发现瑞星的框的时候,去点允许,你或许会说,EnumWindows()以及EnumChildWindows()已经枚举不到瑞星的框了,何来枚举?我来告诉你一个另类的方法,你是否知道IsWindow()这个函数?这个函数接收一个窗口句柄,返回窗口句柄是否有效(bool),使用循环,定义一个int变量,每次循环这个变量就+1,从1开始,+到6000000(一般窗口句柄的数字不会比这个更大了),如果返回值是ture的,那就代表句柄有效,然后使用GetWindowThreadProcessId()获取窗口的进程ID,判断是否为瑞星的进程,如果是,使用IsWindowVisible()判断窗口是否可见,如果可见,使用PrintWindow()配合GDI函数对窗口进行截图(这个方法可能有点卡,没试过其他方法,自己试试。。这里不多解释。。)判断是否为瑞星的框,如果是,获取窗口位置,然后根据窗口坐标.x+xx,坐标.y+xx获得"允许"按钮的位置,然后使用mouse_event()来点允许。。
③木马防御项目的问题:
木马防御在哪方面?加载驱动都不拦我,远程注入DLL也不拦我,挂windows消息钩子也不拦我,这么多危险的事情(难道是我自己的问题?),都不拦我,会编程的,利用上面几个方面,能把瑞星用户玩爆了吧?
我就说这么多,谢谢看我的帖子,希望建议被采纳,由于今天时间不多,建议就只给到这里了。。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0E; .NET4.0C; Creative AutoUpdate v1.40.04; GreenBrowser)